Grandoreiro es uno de los troyanos bancarios con mayor impacto en el mundo y, pese a ser objeto de dos operaciones policiales en los últimos años, sigue evolucionando y atrayendo nuevas víctimas.
De acuerdo con Fabio Marenghi, investigador de Seguridad Senior en Kaspersky, este código malicioso desarrollado en Brasil dejó 150 mil víctimas de 40 países sólo entre 2022 y 2023, siendo sus principales objetivos bancos, fintechs, criptomonedas y bancos centrales.
En 2021, la Guardia Civil de España realizó una operación y arrestó a parte de los miembros de Grandoreiro, pero siguieron activos y en 2023 Kaspersky colaboró con Interpol para interrumpir sus operaciones”, relató durante la Cyber Security Week 2024.
Yuri do Amarai Nobre, jefe del servicio de Investigación de Crímenes de Alta Tecnología en la Policía Federal Brasileña, añadió que esa segunda operación se realizó por una queja del banco español CaixaBank, a quien intentaron robar más de 110 millones de euros. “Tuvimos dos vías clave de investigación, la tradicional, que era seguir el dinero, o una vía más tecnológica, la infraestructura RAT”.
Los miembros de la investigación decidieron seguir la segunda y aprovechar que Grandoreiro es un troyano bancario como servicio, por lo que utiliza un control de acceso remoto para obtener la información de la víctima.
*Fabio Marenghi, investigador de seguridad senior en Kaspersky.
De esta manera, lograron identificar dominios web, servidores, correos electrónicos y otros elementos que fueron dados de baja para afectar las operaciones de los cibercriminales.
Los servidores maliciosos se redujeron en 60% y el número de víctimas entre 30 y 60%, la operación fue un éxito porque tuvimos el impacto directo en el mundo real”, aseguró Nobre.
Lamentablemente, esto no fue suficiente para deshacerse de los cibercriminales que aprovechan este troyano bancario.
NUEVA VARIANTE
Marenghi reveló que se detectó este año en México una nueva campaña con Grandoreiro que utiliza una nueva infraestructura, nuevo cifrado y código, lo que ha resultado en 45 países atacados con mil 367 blancos.
Es el primer código malicioso hecho en Brasil que ataca en los cinco continentes”, destacó.
Las campañas detectadas este año comienzan con un email con el que los atacantes se hacen pasar por la autoridad fiscal o una factura de telefonía y que incluye una liga maliciosa. Dicha liga es un archivo .zip tiene un software que detecta si el equipo es una potencia víctima, de ser así descarga Grandoreiro, el cual comienza a monitorear todos los sitios de instituciones financieras para capturar los datos.
Adicionalmente, los cibercriminales hacen que el archivo de Grandoreiro pese más de 200 megabytes al incluir imágenes de gran tamaño, esto con el objetivo de que las víctimas no manden el archivo a servicios de escaneo de códigos maliciosos porque éstos no suelen aceptar archivos tan grandes.
El investigador de Kaspersky detalló que cuando el troyano obtiene las claves de identificación bancaria utilizan el mismo dispositivo de la víctima, ya que tienen acceso remoto, para transferir el dinero, ya sea a mulas, criptomonedas, aplicaciones de envío de dinero, tarjetas de regalo, socios locales o directamente a cajeros.
Ambos investigadores afirmaron que siguen monitoreando y compartiendo información sobre las actividades de Grandoreiro.
*Isabel Manjarrez, investigadora de seguridad del equipo global de investigación y análisis de Kaspersky.
DEEPFAKE IMPULSA EL FRAUDE FINANCIERO
El fraude financiero es uno de los principales usos maliciosos de los deepfakes, y lamentablemente se ha demostrado que la biometría no es un método de protección infalible ante esta tecnología.
Un deepfake es una técnica de inteligencia artificial que genera contenido multimedia con apariencia extremadamente realista”, recordó la investigadora de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky, Isabel Manjarrez.
Durante la Cyber Security Week 2024, detalló que existen diferentes tipos de deepfake como imágenes y video, audio y texto, siendo este último más difícil de identificar.
Por lo anterior se utiliza en marketing, audiolibros, documentales, videojuegos, terapia del habla, entre otros, pero también tiene un lado oscuro porque los cibercriminales han encontrado que esta tecnología les permite hacer diferentes actividades maliciosas.
El fraude financiero es una de ellas porque los deepfake pueden suplantar la identidad de una persona para abrir cuentas y pedir préstamos a su nombre, sobre todo a través de aplicaciones móviles bancarias.
Manjarrez explicó que la gran mayoría de las aplicaciones móviles bancarias utilizan biométricos, tanto para verificar la identidad de una persona al momento de abrir una cuenta o bien, como método de acceso a ellas.
El 75% de los usuarios en América Latina considera que las herramientas biométricas son seguras y no necesitan una contraseña, pero la realidad es que no son infalibles”, advirtió.
Muestra de ello es la estafa de la cara falsa, en la que los ciberdelincuentes abrían cuentas bancarias utilizando maniquíes y fotografías de las víctimas para pedir préstamos, engañando a la verificación biométrica de las aplicaciones de instituciones financieras.
Ante esto, muchos bancos añadieron métodos para verificar que la persona “está viva” como fijarse que parpadea o pedirle que voltee el rostro a diferentes ángulos.
Es ahí donde entra el deepfake a través de opciones maliciosas como Gringo_171 de origen brasileño, un grupo que tiene una herramienta que evade esos sistemas al utilizar una fotografía de la víctima para añadir movimiento y parpadeo.
Todo esto ha llevado a un mercado donde la demanda es significativamente más grande que la oferta y, a pesar de que hay muchas herramientas disponibles, lo que se busca es la alta calidad”, resaltó la investigadora.
De ahí que en la darknet se pague entre 300 y 20 mil dólares por un video de un minuto, costo que varía dependiendo de la complejidad del proyecto y la calidad del producto final.
OTROS USOS MALICIOSOS DE LAS DEEPFAKE:
Pornografía que afecta a personalidades del cine, música y videojuegos, entre otros.
Estafas empresariales: se usan personalidades conocidas para hacer promoción de productos, inversiones o por WhatsApp con un mensaje de voz pidiendo una transferencia urgente.
¿CÓMO IDENTIFICAR UNA DEEPFAKE?
Contexto y contenido sospechoso.
Distorsiones de voz.
Anomalías en el fondo o entorno.
Movimientos inusuales o irregulares.
Condiciones de iluminación inconsistentes.
Cambios en el tono de la piel.
Parpadeo extraño o ausencia total de parpadeo.
Labios mal sincronizados con el habla
Artefactos digitales en la imagen (videos con baja calidad y con mala iluminación)
Fuente:Excelsior
