Regresa el troyano Grandoreiro con una campaña que suplanta a Endesa y distribuye malware bancario

El troyano Grandoreiro, conocido por sus capacidades de robo de información bancaria, ha sido detectado nuevamente en una campaña que explota la imagen de la empresa eléctrica Endesa, contexto marcado por incidentes previos de ciberseguridad en esta compañía. Según reportó el medio, el software malicioso aprovecha el reciente contexto de vulnerabilidad percibido tras el hackeo sufrido por Endesa en enero para engañar a los usuarios mediante correos electrónicos fraudulentos.

De acuerdo con la información proporcionada, Grandoreiro utiliza como vía principal de ataque el envío masivo de mensajes electrónicos donde simula la comunicación oficial de la compañía eléctrica. En estos mensajes, los atacantes informan a las víctimas sobre presuntos problemas con datos personales o métodos de pago registrados en la cuenta del destinatario. Los correos incluyen enlaces que dirigen a las potenciales víctimas hacia páginas web externas alojadas en servidores legítimos controlados por los ciberdelincuentes.

El medio detalló que, una vez que la persona hace clic en el enlace proporcionado, se descarga en su dispositivo una aparente factura digital. A pesar de que el archivo parece estar en formato PDF, en la práctica contiene un archivo de extensión ISO. Esta extensión funciona como contenedor de varios archivos, entre los que se incluye un script de Visual Basic que inicia la cadena de infección en el sistema del usuario. Tras la ejecución de este script, Grandoreiro queda instalado en el equipo afectado. La operación del troyano permanece oculta, ya que actúa en segundo plano recolectando y enviando de manera silenciosa información financiera del usuario hacia los servidores de los atacantes.

Los especialistas de la firma de ciberseguridad ESET, al ser consultados por el medio, explicaron que el usuario infectado observa en pantalla solo un archivo PDF que simula ser la factura de Endesa, aunque no logra abrirlo. Mientras tanto, Grandoreiro recorre el sistema en busca de credenciales bancarias y otros datos sensibles, los cuales extrae sin generar alertas evidentes para el usuario.

La actual actividad de Grandoreiro ha llevado a los expertos de ESET a insistir sobre la necesidad de implementar medidas de precaución frente a mensajes sospechosos, recomendando analizar cuidadosamente cualquier correo recibido que mencione errores en datos personales o solicitudes de pago. Según ESET, los usuarios deberían verificar la autenticidad de los mensajes directamente accediendo a la web de la compañía desde un navegador y nunca a través de los enlaces incluidos en los correos electrónicos. Además, los analistas remarcaron ante el medio la importancia de mantener actualizadas las soluciones de seguridad informática para detectar y bloquear este tipo de amenazas antes de que lleguen a la bandeja de entrada.

Grandoreiro figura desde 2017 en los registros de amenazas digitales, cuando comenzó a distribuirse bajo la apariencia de actualizaciones falsas de plataformas como Java y Flash. Posteriormente, sus desarrolladores enfocaron el método de ataque en la suplantación de identidad tanto de organismos oficiales como de empresas privadas reconocidas, profundizó el medio. La distribución de correos fraudulentos o phishing ha persistido como la herramienta principal para llegar a las víctimas, con constantes variaciones en la identidad suplantada y el contenido del mensaje.

El medio informó que, aunque Grandoreiro ya ha utilizado en campañas anteriores la identidad de Endesa, la elección de la empresa no resulta casual dada la reciente exposición mediática relacionada con su seguridad informática. Este contexto amplifica la probabilidad de que los usuarios consideren verosímil el mensaje recibido y caigan en la trampa al intentar solucionar posibles errores en sus cuentas.

Los expertos apuntan que la cadena de infección que despliega el troyano se inicia únicamente si el destinatario del mensaje interactúa con el contenido del correo: el hecho de pinchar el enlace o abrir el archivo adjunto es lo que activa el proceso. La gestión adecuada de los mensajes sospechosos y el fortalecimiento de la atención a posibles señales de suplantación constituyen, según ESET y el medio que publica la advertencia, las principales defensas frente a este ataque.