Un falso correo electrónico que se hace pasar como comunicación oficial de WhatsApp está robando datos bancarios de los usuarios, alertó la firma de ciberseguridad ESET.
El email hace creer a las potenciales víctimas que se trata de una comunicación oficial de WhatsApp que invita a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería.
En el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado “Open_Document_513069.html”. Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly.
Al hacer clic, redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga el troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo haya sido infectado con el malware.
Una vez que infectó el equipo de la víctima, el objetivo principal de este troyano es robar credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco.
Además, al igual que otros troyanos bancarios latinoamericanos, cuenta con funcionalidades de backdoor que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registrar las pulsaciones de teclado (keylogging), simular acciones de mouse y teclado, cerrar sesión de la víctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo.
En 2020, Grandoreiro utilizó al Covid-19 para engañar a usuarios en Brasil, España, México y Perú; además de mandar falsas campañas dirigidas a España suplantando la identidad de la Agencia Tributaria.