Debes tener cuidado con el email de "copia de seguridad de WhatsApp" que está circulando, es una advertencia que ha levantado la Oficina de Seguridad del Internauta de España y la Guardia Civil a la población española, porque se trata de una nueva campaña de phishing con la que intentan suplantar la identidad de los usuarios en la plataforma de mensajería instantánea para distribuir el troyano bancario Grandoreiro.
Se trata de un falso correo electrónico, que tiene como objetivo hacer creer a los usuarios que se trata de una comunicación oficial de la empresa propietaria de aplicación que te invita a descargar una copia de seguridad de tus mensajes y chats en la plataforma, así como tu historial de llamadas, pero si llegas a caer en ello lo peor está por suceder.
La falsa copia de seguridad de WhatsApp trae un HTML adjunto
Cuando la persona recibe el falso correo electrónico con el que pretenden suplantar la identidad, el mensaje trae consigo un archivo adjunto que lleva por nombre “Open_Document_513069.html” y no es más que un archivo HTML que incluye una dirección URL que ha sido acortada con el servicio bitly.
En el momento que la persona pulsa sobre el archivo adjunto, es redireccionado a un sitio web que descarga automáticamente un archivo con la extensión .zip que incluye en el archivo comprimido un instalador MSI y que finalmente descarga el troyano en tu dispositivo y que ha sido identificada como la variante Win32/Spy.Grandoreiro.BB.
Cuando el usuario ejecuta el archivo descargado, pensando todavía que se trata de una copia de seguridad de su mensajería, no hay vuelta atrás porque el equipo ya habrá quedado infectado. Los investigadores señalan que podrían existir otros correos electrónicos con otros temas y asuntos diferentes circulando en la red.
Esta campaña no es nueva, aunque sí el asunto que se utiliza. En marzo de 2021 estuvo circulando en España una campaña de phishing muy parecida y que tenía como objetivo suplantar la identidad en WhatsApp, lo mismo sucedió en 2020.
Lo que se sabe sobre este troyano
Grandoreiro es un troyano bancario que tiene tiempo circulando y sus variantes han sido muchas hasta la fecha, está escrito en Delphi y su parecido es bastante grande con otros troyanos que están muy activos actualmente en América Latina. Muchos de estos troyanos han salido de las fronteras latinoamericanas, llevando sus campañas a usuarios de España y de otras zonas de Europa.
Una anterior versión del troyano Grandoreiro se vio durante todo el 2020 en localidades como Brasil, España, México y Perú, principalmente al poco tiempo de haberse decretado la pandemia por COVID 19, por ello utilizaron temas asociados a la crisis sanitaria para poder atraer la atención de sus víctimas y poder cristalizar el engaño, en este caso la mayoría de los correos hablaba sobre una suspensión en los servicios de la Agencia Tributaria, suplantando su identidad.
Luego de lograr la infección del equipo de la víctima, este troyano tiene la tarea de robar credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la persona vulnerada que se trata del sitio oficial del banco, todo esto una vez que logra su objetivo de instalarse tras una descarga “voluntaria”.
Este troyano cuenta con funcionalidades de backdoor que le facilitan acciones al atacante que puede realizar en el equipo que ha sido infectado, por ejemplo, registrar las pulsaciones de teclado, técnica conocida como keylogging, simular acciones del ratón y teclado, lograr el cierre de sesión en servicios que utiliza la víctima, bloquear el acceso a sitios web específicos como páginas de seguridad o de antivirus; incluso pueden reiniciar el equipo.
- Ver Comentarios