México enfrenta una seria amenaza cibernética debido a un ataque masivo perpetrado con el troyano bancario Grandoreiro. Este sofisticado malware, diseñado para el robo de credenciales bancarias y la ejecución de fraudes financieros, está siendo propagado por ciberdelincuentes que se hacen pasar por el Servicio de Administración Tributaria (SAT)
La unidad de investigación de SILIKN ha detectado esta campaña, destacando la sofisticación de la estrategia empleada por los delincuentes. A diferencia de ataques anteriores, en los que se utilizaban direcciones de correo electrónico falsas o similares a las oficiales, esta vez los mensajes provienen de cuentas legítimas utilizadas para recibir notificaciones fiscales.
El engaño radica en que el correo electrónico, aunque auténtico en su origen, incluye un enlace que dirige a un sitio web malicioso. Este sitio está diseñado para infectar el equipo del usuario que haga clic en el enlace, instalando el troyano Grandoreiro sin su conocimiento. La dirección del enlace es inusual, incluyendo el nombre de un proveedor de hosting alemán y una serie de parámetros técnicos diseñados para disfrazar su verdadera naturaleza.
Víctor Ruiz, fundador de SILIKN y experto en ciberseguridad, explica que la URL tiene parámetros que simulan una operación de correo, pero en realidad redirige a una página que muestra un mensaje falso, invitando a descargar un archivo que, en lugar de ser documentación oficial, es el troyano Grandoreiro
Este malware, originario de América Latina, se caracteriza por su capacidad para robar información financiera y alterar transacciones bancarias. Una vez instalado, Grandoreiro espía la actividad del usuario, prestando especial atención al acceso a cuentas bancarias. Puede interceptar credenciales, modificar transacciones y robar información confidencial almacenada en el dispositivo.
Además de su capacidad para robar información, Grandoreiro es altamente evasivo, lo que dificulta su detección por parte de antivirus y sistemas de seguridad. Esto agrava el riesgo, ya que incluso con sistemas de seguridad actualizados, el malware puede pasar desapercibido.
Grandoreiro es un troyano bancario brasileño activo desde 2016. Ha evolucionado y se ha expandido a América Latina, España y otros países. A pesar de los intentos por detenerlo, sigue siendo una amenaza
En marzo de 2024, una operación coordinada con la Interpol y agentes internacionales resultó en el arresto de varios individuos responsables del troyano. Sin embargo, Kaspersky descubrió que las actividades no se detuvieron y que nuevas versiones del malware siguen circulando.
Ante esta amenaza, SILIKN recomienda extremar precauciones con cualquier correo que parezca provenir del SAT, especialmente si incluye enlaces extraños o redirige a sitios que no terminan en sat.gob.mx. Se sugiere no hacer clic en enlaces ni descargar archivos adjuntos sospechosos, verificar que el remitente sea realmente una dirección oficial de @sat.gob.mx, y verificar el enlace antes de abrirlo utilizando herramientas como VirusTotal o URLScan. También se recomienda reportar cualquier correo sospechoso al SAT a través de denuncias.fraude@sat.gob.mx y eliminar el mensaje de inmediato.
