Expertos en ciberseguridad de Proofpoint han identificado una nueva variante del malware Grandoreiro, anteriormente conocido por atacar a víctimas en Brasil y México. Esta última versión de Grandoreiro, atribuida al actor de amenazas TA2725, ha ampliado su alcance para apuntar también a bancos en España.

En un aviso publicado, los investigadores dijeron que recientemente notaron un aumento inusual en la frecuencia y el volumen de actividad maliciosa dirigida a España, una desviación del enfoque tradicional del malware en los hablantes de portugués e español en las Américas.

Según Proofpoint, Brasil se encuentra entre los países más atacados por ladrones de información y otro malware. Su uso generalizado de la banca en línea brinda oportunidades para que los actores de amenazas exploten a víctimas desprevenidas.

La familia de malware Grandoreiro, comúnmente escrita en Delphi, ha estado activa durante años, con varias cepas como Javali, Casabeniero, Mekotio y el propio Grandoreiro. El malware es capaz de robar datos a través de registradores de pulsaciones de teclas y capturadores de pantalla y puede robar información de inicio de sesión bancaria superpuesta en sitios web bancarios. Generalmente entregado a través de señuelos de correo electrónico, ejecuta un archivo malicioso que contacta a un servidor de comando y control (C2).

Hasta hace poco, Grandoreiro se había dirigido principalmente a bancos de Brasil y México. Sin embargo, campañas recientes revelaron que las superposiciones de robo de credenciales bancarias del malware se han ampliado para incluir bancos en España. Esto significa que TA2725 ahora puede atacar simultáneamente a víctimas tanto en España como en México sin modificar el malware.

Se ha observado que TA2725, conocido por utilizar malware y phishing bancario brasileño, apunta a credenciales de bancos en Brasil y México, junto con credenciales de consumidores e información de pago para cuentas de Netflix y Amazon.