Estudio de análisis de amenazas: Grandoreiro
Siguiendo con nuestra serie de estudios de análisis de amenazas o campañas de distribución de malware con afectación en España iniciada en abril de 2021, hoy publicamos un nuevo estudio sobre el troyano Grandoreiro, una amenaza relevante en el sector bancario.
Como troyano, este malware está diseñado para tener múltiples utilidades, la más común es crear una backdoor en el equipo infectado para poder descargar actualizaciones y nuevas funcionalidades.
El objetivo del estudio reside en reunir la información necesaria para poder identificar las características propias de esta amenaza así como su comportamiento y técnicas empleadas, permitiendo la trazabilidad con futuras versiones del mismo malware, o la posible nueva afectación a otras entidades del sector financiero, o incluso de otros sectores.
Adicionalmente, se tiene constancia de la extensión de operaciones con este malware a Europa, incluyendo España y Portugal, estando activo desde 2015 en América Latina.
A lo largo del estudio se recoge información detallada sobre las vías de infección empleadas por este troyano, el lenguaje en el que está programado, sus funcionalidades y modo de actuación, detallando paso a paso el proceso de infección, así como los métodos de protección utilizados por el propio Grandoreiro para evadir los controles de seguridad. En este análisis también se incluyen recomendaciones de seguridad y varios IOC y reglas de Yara para ayudar en la detección de muestras de este troyano.
El estudio completo se puede descargar a continuación: