Campaña de robo de información «Grandoreiro»
4 de agosto de 2025
Por Samantha Clarke y el equipo de investigación de amenazas de Mimecast
- El troyano bancario Grandoreiro ataca a instituciones financieras y a usuarios de toda América Latina y se está expandiendo a nivel mundial.
- Existen sofisticadas campañas de phishing que se hacen pasar por organismos fiscales del Gobierno y por las fuerzas del orden.
- La infraestructura con geovallas garantiza una distribución selectiva a regiones concretas. Los ataques en varias fases aprovechan las funciones de JavaScript y las descargas de archivos ZIP.
- Entre las amplias capacidades de sustracción de datos se incluyen las credenciales bancarias y la información de los monederos de criptomonedas.
Resumen de la campaña
Samantha Clarke y el equipo de investigación de amenazas de Mimecast han identificado campañas activas del troyano bancario Grandoreiro que suponen una amenaza significativa para las entidades financieras y los usuarios particulares (registradas internamente como MCTO1022). Grandoreiro es un conocido troyano bancario brasileño que lleva activo desde 2016 y que permite a los autores de amenazas realizar transacciones bancarias fraudulentas. Este sofisticado malware se ha convertido en una amenaza mundial, y sus campañas recientes han traspasado sus fronteras tradicionales en América Latina para dirigirse a usuarios de Europa y África.
Los autores de las amenazas detrás de Grandoreiro se identifican internamente como MCTO1023. Estos actores llevan a cabo sofisticadas campañas de phishing en las que se hacen pasar por entidades gubernamentales legítimas, en particular por agencias tributarias y organismos encargados de hacer cumplir la ley. Utilizan este método para engañar a los usuarios y que descarguen archivos maliciosos. Este enfoque de ingeniería social aprovecha la confianza inherente que los usuarios depositan en las comunicaciones oficiales del Gobierno para lograr altas tasas de éxito en la obtención de credenciales y la instalación de malware.
Temas y segmentación de la campaña
Las recientes campañas de Grandoreiro han puesto de manifiesto un profundo conocimiento de las estructuras de gobierno regionales y de los patrones de comportamiento de los usuarios. Los autores de las amenazas emplean tácticas de ingeniería social específicas de cada región que se ajustan a los procesos administrativos locales y a los canales de comunicación oficiales, de forma similar a las técnicas observadas en otros troyanos bancarios latinoamericanos.
Regiones objetivo principales:
- América Latina: Brasil, México, Argentina, España (prioridad principal)
- Ampliación de las operaciones: algunas zonas de Europa y África
Entidades suplantadas:
- Administración Federal de Ingresos Públicos (AFIP) - Argentina
- Agencia de Recaudación y Control Aduanero (ARCA) - Argentina
- Secretaría de Hacienda y Crédito Público (SHCP) - México
- Dirección General de la Policía - España
- Organismos de la administración tributaria - Argentina
- Ministerio de Hacienda - México
- Notificaciones de multas de policía – España
Se han detectado casos en los que se suplantaba la identidad de la Administración Federal de Ingresos Públicos.
Y la Secretaría de Hacienda y Crédito Público.
Infraestructura técnica y flujo del ataque
La campaña Grandoreiro utiliza sofisticadas técnicas de geovallado para garantizar que el contenido malicioso solo se envíe a los usuarios de los países seleccionados. La infraestructura utiliza subdominios de contaboserver.net que están configurados específicamente para denegar el acceso a los usuarios que se encuentren fuera de las regiones geográficas previstas, lo que permite maximizar las tasas de infección y minimizar al mismo tiempo la exposición ante los investigadores de seguridad. Este enfoque de múltiples niveles garantiza que el malware solo se distribuya a las víctimas previstas, al tiempo que elude los sistemas automatizados de análisis de seguridad.
El flujo del ataque incorpora funciones de JavaScript que realizan una verificación del navegador antes de pasar a la siguiente fase del ataque mediante un archivo PDF alojado, lo que suele implicar la descarga de un archivo ZIP malicioso.
A continuación, la carga útil ejecutará un archivo .EXE que se conectará a una dirección IP C2 alojada en AWS. Durante nuestra investigación se observaron elementos relacionados con la página web maliciosa principal.
Durante nuestro proceso de investigación, se descubrió el panel de envío utilizado para enviar los correos electrónicos de phishing a sus víctimas.
En el caso de los dispositivos que no funcionan con Windows, existen mecanismos de redireccionamiento que impiden la entrega de la carga útil, lo que pone de manifiesto que el malware se centra en los entornos basados en Windows, donde puede alcanzar su máxima eficacia. En el caso de los dispositivos que no funcionan con Windows, el mensaje indica: «Este contenido está disponible exclusivamente para dispositivos que funcionan con el sistema Windows, como ordenadores portátiles y de sobremesa».
La información recabada de la infraestructura expuesta revela el alcance de la operación de la amenaza. El análisis de los sistemas VPS comprometidos ha revelado la existencia de una infraestructura de pruebas de correo basura que contiene direcciones de correo electrónico de varios países de América Latina, entre ellos Argentina, México, Brasil, Perú, España, Chile, Bolivia, Ecuador, Paraguay, Uruguay y Venezuela. Esto apunta a operaciones coordinadas en toda la región, con posibilidades de una expansión continua. Las operaciones de estas amenazas mantienen prácticas sofisticadas de seguridad operativa, al tiempo que muestran una clara intención de ampliar sus objetivos más allá de las fronteras tradicionales de América Latina.
Capacidades de exfiltración de datos
Grandoreiro cuenta con amplias capacidades de recopilación de datos que van más allá de las credenciales bancarias tradicionales e incluyen:
Protección de Mimecast
Mimecast ha implementado unas funciones de detección exhaustivas para identificar y bloquear los correos electrónicos relacionados con las campañas de Grandoreiro. Nuestro equipo de investigación de amenazas sigue vigilando los cambios en las tácticas y técnicas que emplean estos actores maliciosos para garantizar que nuestros clientes sigan estando protegidos frente a los vectores de ataque en constante evolución.
Objetivos:
Principalmente instituciones financieras y usuarios particulares de toda América Latina, con operaciones en expansión dirigidas a segmentos demográficos similares en Europa y África.
Indicadores de compromiso (IOC)
Infraestructura maliciosa:
- vmi2664683[.]contaboserver[.]net
- vmi2670907[.]contaboserver[.]net
- vmi2664683[.]contaboserver[.]net
Hashes de archivos:
- Archivo ZIP: d2b051084d2401c3d826606db8689bba7485061cc1102690d529edb25ddf48fc
- Archivo VBS: 6f7eb90f33d87a5765a29f696e33ec7958f272225add6e4a1dc7994cd32f63f3
Señuelos habituales:
- Correspondencia de la Agencia Tributaria
- Notificaciones de cumplimiento normativo por parte de las autoridades
- Multas impuestas por las fuerzas del orden
- Comunicaciones de la Agencia Tributaria
Recomendaciones
Formación en concienciación sobre seguridad para usuarios:
- Informar a los usuarios sobre las tácticas de suplantación de identidad de organismos públicos
- Realice simulaciones periódicas de phishing que incluyan temas relacionados con las autoridades fiscales y las fuerzas del orden
- Capacite a los usuarios para que verifiquen las comunicaciones del Gobierno a través de los canales oficiales antes de tomar medidas.
Seguridad de redes:
- Supervisar las conexiones a los subdominios de contaboserver.net
- Implemente controles de acceso geográficos cuando sea pertinente
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico los señuelos que coincidan
- Supervise los patrones de redirección basados en JavaScript que coincidan con las campañas de Grandoreiro
- Investigue las descargas inusuales de archivos ZIP procedentes de infraestructuras externas