El troyano Grandoreiro está activo en México; suplanta la identidad del SAT

Alertan por una nueva campaña del troyano bancario Grandoreiro, que se distribuye a través de emails phishing suplantando la identidad del SAT.

Foto: cortesía. Portal ERP México.

La unidad de investigación de SILIKN ha identificado una nueva campaña del troyano bancario Grandoreiro, que se distribuye a través de correos electrónicos de phishing suplantando la identidad del Servicio de Administración Tributaria (SAT). A diferencia de ataques anteriores, donde los ciberdelincuentes empleaban direcciones de correo falsas o similares a las oficiales, en esta ocasión los mensajes provienen de cuentas legítimas utilizadas para recibir notificaciones fiscales. Sin embargo, contienen enlaces maliciosos que buscan comprometer a los destinatarios. Debido a que estos correos son verificados, logran evadir la detección de la mayoría de los antivirus y soluciones antimalware.

El correo redirige a una URL falsa que, al hacer clic en el enlace, se redirige a una página que muestra el mensaje "Documentación Acta en PDF" e incluye un botón para descargar el archivo PDF. Es importante NO hacer clic en el botón bajo ninguna circunstancia.

El dominio está bajo el contaboserver.net que pertenece a Contabo GmbH, un proveedor de hosting alemán, y el subdominio vmi2486519.contaboserver.net corresponde a un servidor VPS alojado en su infraestructura, utilizado por distintos clientes para alojar sitios o servicios. La URL contiene parámetros que indican que se trata de una operación de correo electrónico, intentando recuperar un mensaje de la bandeja de entrada con un identificador único y un posible token de autenticación. Además, hace referencia a una parte específica del correo sugiriendo que intenta cargar contenido embebido, en este caso, una imagen.

Te puede interesar: Campaña de phishing en Microsoft 365 tiene como objetivo al gobierno mexicano

El correo puede parecer verídico, pero se trata de un intento de phishing para robar credenciales o distribuir contenido malicioso. Entre los indicadores de riesgo se encuentran el uso de un servidor VPS de bajo costo en Contabo, común entre atacantes; la presencia de un token en la URL, que podría simular autenticación pero redirigir a una página falsa; y los parámetros, que podrían cargar una imagen con código malicioso o tracking pixels para monitorear al usuario.

Grandoreiro es un troyano bancario diseñado para robar credenciales de acceso a cuentas bancarias en línea y realizar fraudes financieros. Este malware se propaga principalmente a través de correos electrónicos de phishing, en los que se suplantan identidades legítimas, como las de instituciones financieras o servicios de pago.

Cuando el usuario hace clic en el enlace o adjunto malicioso, el troyano se instala en su dispositivo. Luego, se activa para monitorear las actividades en línea del usuario, como las transacciones bancarias, e intercepta las credenciales ingresadas en los sitios web de banca en línea. Además, puede modificar las transacciones, redirigir pagos o robar información confidencial.

Grandoreiro es especialmente peligroso porque, en muchos casos, es capaz de eludir medidas de seguridad como antivirus y sistemas de detección, utilizando técnicas avanzadas de ocultación y evasión.

Si se recibe un correo que aparenta ser del SAT e invita a cumplir obligaciones fiscales, pero contiene un enlace sospechoso, puede ser potencialmente malicioso. No se debe hacer clic en el enlace ni descargar archivos adjuntos, se debe verificar que el remitente use el dominio oficial sat.gob.mx y revisar la URL, ya que el SAT no usa servidores como Contabo. Si la URL contiene un token de autenticación, podría ser phishing.