Por Francisco D’Agostino.<\/p>\n
ESET<\/b><\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, advierte sobre un falso correo electr\u00f3nico en espa\u00f1ol que intenta hacer creer a las potenciales v\u00edctimas que se trata de una comunicaci\u00f3n oficial de WhatsApp que invita a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicaci\u00f3n de mensajer\u00eda. El objetivo real de la comunicaci\u00f3n es distribuir el troyano bancario Grandoreiro, que roba credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la v\u00edctima que se trata del sitio oficial del banco, entre otras funcionalidades.<\/p>\n En el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado \u201cOpen_Document_513069.html\u201d. Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly. Seg\u00fan un an\u00e1lisis realizado en el laboratorio de ESET Latinoam\u00e9rica del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un\u00a0instalador MSI<\/a>\u00a0que descarga la amenaza, el troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo haya sido infectado con el malware.<\/p>\n Seg\u00fan an\u00e1lisis detallado de Grandoreiro<\/a> que public\u00f3 ESET, se trata de un troyano bancario escrito en Delphi que comparte muchas caracter\u00edsticas con otras\u00a0familias de troyanos muy activas en Am\u00e9rica Latina<\/a>. Algunas de estas familias, se expandieron m\u00e1s all\u00e1 de Latinoam\u00e9rica y comenzaron a dirigir sus campa\u00f1as a usuarios de Espa\u00f1a y de otros pa\u00edses de Europa. En 2020, Grandoreiro ten\u00eda presencia principalmente en pa\u00edses como Brasil, Espa\u00f1a, M\u00e9xico y Per\u00fa. Y a poco de decretarse la pandemia se detectaron correos en los que utiliz\u00f3 la tem\u00e1tica del COVID-19 para enga\u00f1ar a los usuarios, as\u00ed como\u00a0campa\u00f1as dirigidas a Espa\u00f1a suplantando la identidad de la Agencia Tributaria<\/a>.<\/p>\n Por Francisco D’Agostino.<\/p>\n Una vez que infect\u00f3 el equipo de la v\u00edctima, el objetivo principal de este troyano es robar credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la v\u00edctima que se trata del sitio oficial del banco<\/b>. Adem\u00e1s, al igual que los otros troyanos bancarios latinoamericanos, cuenta con funcionalidades de backdoor que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registras las pulsaciones de teclado (<\/b>keylogging<\/b><\/a>), simular acciones de mouse y teclado, cerrar sesi\u00f3n de la v\u00edctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo, por nombrar algunas de sus capacidades<\/b>.<\/p>\n De acuerdo con los datos de la telemetr\u00eda de ESET, los registros de los \u00faltimos 90 d\u00edas para la misma variante de Grandoreiro detectada en esta campa\u00f1a que suplanta la identidad de WhatsApp muestran actividad del troyano en Espa\u00f1a principalmente, pero tambi\u00e9n en M\u00e9xico y Brasil<\/b>. \u201cEsto no quiere decir que sea la misma campa\u00f1a est\u00e9 circulando en estos pa\u00edses, pero tampoco podemos descartar la posibilidad de que esta misma estrategia de ingenier\u00eda social no se utilice m\u00e1s adelante en campa\u00f1as que apunten a pa\u00edses de Am\u00e9rica Latina, por lo que es importante estar informado de este tipo de campa\u00f1as de phishing para evitar caer en la trampa en caso de recibir un correo de estas caracter\u00edsticas.\u201d, <\/i>comenta Camilo Guti\u00e9rrez Amaya, Jefe de Laboratorio de Seguridad Inform\u00e1tica de ESET Latinoam\u00e9rica.<\/p>\n Por Francisco D’Agostino.<\/p>\n Desde el sitio de la Oficina de Seguridad del Internauta no descartan que existan otros correos en circulaci\u00f3n con asuntos diferentes. De hecho, en marzo de este a\u00f1o estuvo circulando en Espa\u00f1a una\u00a0campa\u00f1a de phishing de similares caracter\u00edsticas<\/a>\u00a0en la cual se suplantaba la identidad de WhatsApp utilizando la misma excusa, y tambi\u00e9n hay registros de una campa\u00f1a similar en 2020.<\/p>\n Para obtener m\u00e1s detalles ingrese a WeLiveSecurity, el portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2021\/09\/28\/phishing-copia-seguridad-whatsapp-descarga-troyano-grandoreiro\/<\/a><\/p>\n Por otro lado, ESET<\/a> invita a conocer Conexi\u00f3n Segura<\/b><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a:<\/p>\n