L’Incibe ha alertat sobre aquesta campanya de pesca que fa servir com a ganxo factures falses per infectar els dispositius amb el troià bancari Grandoreiro.

El gener passat el conegut troià bancari Grandoreiro es va veure sacsejat per una operació policial internacional que va aconseguir aturar els seus responsables i interrompre la seva activitat. Tot i això, quatre mesos després es va conèixer que havia ressorgit amb força, i que apuntava a més de 1.500 bancs de tot el món, i des de fa uns dies està assetjant usuaris espanyols, com ja havia fet en el passat.

En aquesta ocasió, Grandoreiro, originari del Brasil i detectat per primera vegada a Espanya l’any 2020, s’està distribuint mitjançant una campanya de correus electrònics maliciosos (pesca) que fa servir com a ganxo suposades factures, un esquer recurrent tant per als operadors d’aquest troià com per a la ciberdelinqüència en general.

El nou atac de pesca que propaga Grandoreiro

Aquesta nova campanya de pesca ha estat advertida per l’Institut Nacional de Ciberseguretat espanyol (Incibe) a l’últim avís que ha llançat a la ciutadania, després del qual fa uns dies en va emetre un altre per informar sobre una altra que suplantava la Fábrica Nacional de Moneda y Timbre (FNMT) mitjançant la tècnica de suplantació a correu electrònic.

En aquesta ocasió, els ciberdelinqüents darrere de Grandoreiro estan tractant de difondre el programari maliciós a través de correus maliciosos que simulen procedir de grans empreses energètiques –com ara Iberdrola, Endesa i Naturgy– i notifiquen als seus destinataris una suposada factura pendent de pagament, que presumptament correspon al mes vençut i ve adjunta a l’email.“

Tot i això, l’arxiu conté un executable maliciós dissenyat per instal·lar el programari maliciós anomenat Grandoreiro al dispositiu de l’usuari”, subratlla l’Incibe. “En cas que el programari malició arribi a instal·lar-se al dispositiu, podria robar dades de l’usuari i enviar-les als ciberdelinqüents per fer-les servir en futurs fraus”, apunta.

Igualment, explica que aquests correus provenen d’adreces de correu que no són oficials, cosa que hauria de fer desconfiar, i que, encara que el text del correu electrònic pot semblar legítim, ja que no conté errors gramaticals o ortogràfics, s’adreça a l’usuari de manera genèrica o fent servir el nom del correu electrònic, un indicatiu clar que podria ser un frau.

“Per donar més credibilitat s’inclou logotips i colors de la marca que podrien confondre l’usuari a simple vista, per això mai ens podem fiar simplement, perquè el format coincideixi, hem d’analitzar més a fons”, afegeix.

Pel que fa als assumptes que fan servir aquests correus, l’Incibe indica que varien segons l’empresa suplantada, i ho demostra aportant aquestes captures sense descartar que hi pugui haver altres de similars.

Què fer si ha caigut en l’engany i s’ha descarregat el troià

A més de detallar en què consisteix la nova campanya de distribució de Grandoreiro, l’Incibe recomana seguir els passos següents als qui s’hagin empassat l’ham i se l’hagin descarregat.

• Desconnectar d’Internet l’equip que s’hagi pogut veure infectat per evitar que el programari maliciós es pugui propagar a altres dispositius de la xarxa domèstica.
• Fer servir un antivirus per dur a terme una anàlisi exhaustiva del dispositiu per fer una recerca del programari maliciós (malware). Si la infecció persisteix, considerar formatar l’equip o restablir-lo de fàbrica per desinfectar-lo del tot.
• Recopilar totes les evidències que siguin possibles per interposar una denúncia davant de les forces i cossos de seguretat de l’Estat.
• Si teniu dubtes sobre la veracitat d’una comunicació d’una d’aquestes empreses, adreceu-vos als apartats específics contra aquest tipus de frau als portals d’Endesa, Iberdrola i Naturgy.