El troyano Grandoreiro se distribuye a través de servidores alojados en Contabo en campañas de phishing

Los ciberdelincuentes están reviviendo el troyano bancario Grandoreiro. Se está utilizando activamente en campañas de phishing a gran escala, principalmente dirigidas a usuarios bancarios en América Latina y Europa. Los ciberdelincuentes están aprovechando los proveedores de VPS hosting y técnicas de ofuscación para evadir la detección. El malware se adapta continuamente, utilizando URLs dinámicas y ingeniería social para maximizar su alcance y efectividad.

Este artículo presenta los hallazgos de la investigación detallada de Forcepoint X-Labs sobre una campaña reciente de Grandoreiro que apunta a usuarios en México, Argentina y España a través de correos electrónicos de phishing que se hacen pasar por la agencia tributaria para engañar a los usuarios. Los atacantes envían correos electrónicos gubernamentales fraudulentos incrustados con enlaces maliciosos a servicios de hosting legítimos bien conocidos como Contabo. Esto lleva a las víctimas a descargar un script Visual Basic ofuscado y una carga útil EXE disfrazada diseñada para robar credenciales. Ocasionalmente, los actores maliciosos emplean archivos comprimidos cifrados o protegidos por contraseña para ocultar y entregar software dañino, lo que hace más difícil para los sistemas de seguridad identificar y bloquear la amenaza.
 

Fig. 1 - Cadena de ataque de Grandoreiro

Análisis de correo electrónico: 
El correo electrónico se envía con advertencias de penalización fiscal de alta importancia en español y un remitente falsificado que se hace pasar por una agencia tributaria para engañar a los usuarios. También aprovecha la infraestructura de remitente bien conocida de Ovhcloud y GNU Mailutils 3.7.

Fig. 2 - Documento de phishing de impuestos

El correo electrónico contiene enlaces maliciosos que redirigen a los usuarios a VPS o servidores dedicados alojados en la infraestructura de Contabo, como la URL geofenced vmi\d{7}[.]contaboserver[.]net. Una vez que un usuario hace clic en el botón "Download PDF", se descargará una carga útil zip desde otro servicio de almacenamiento en la nube y compartición de archivos, mediafire.com.

Fig. 3 - Enlace incrustado abre a contaboserver.net

Este subdominio de la URL cambia en cada campaña, como vmi\d{7}[.]contaboserver[.]net. Los subdominios de contaboserver[.]net, como vmi2500240[.]contaboserver[.]net, generalmente están vinculados a máquinas virtuales o servidores específicos alojados en la red de Contabo. Hemos observado que algunos elementos de apoyo a esta página web maliciosa principal están alojados en este subdominio.

Fig. 4 - Elementos de apoyo alojados en un dominio de Contaboserver.net

Hacer clic en el botón "Download PDF" agrega un comando JavaScript que llama a una función async () declarada que verifica el navegador y la plataforma utilizando navigator.userAgent. Desde allí, recupera una URL de Mediafire.net desde un archivo PHP, que luego redirige para descargar la siguiente carga útil:

Fig. 5 - JavaScript explícitamente añadido en HTML

Fig. 6 - Código del archivo JavaScript alojado

Una vez que se recibe una respuesta del PHP en formato JSON, el archivo .zip se descarga en el sistema. JavaScript también verifica el número de descargas.

Fig. 7 - PHP alojado con URL de mediafire.com

Análisis de VBS: 
El zip descargado a veces está protegido por contraseña y contiene un archivo VBS ofuscado grande. Contiene muchos caracteres no deseados “:” utilizados para la ofuscación y contiene un archivo Zip incrustado en formato base64 y en fragmentos.

Fig. 8 - Código VBS ofuscado

Fig. 9 - Código VBS desofuscado

Este VBS concatena grandes variables e intenta decodificar un flujo base64 diseñado para soltar un archivo .zip con nombre aleatorio en “C:\users\Public”. Luego, intenta extraer un .zip en el directorio del sistema y soltar un archivo EXE. Mantiene un registro de la ruta del archivo exe en un archivo “.txt”, luego ejecuta la carga útil “.exe” utilizando Wscript.shell.

Análisis de EXE: 
El archivo exe de 32 bits extraído está compilado con Delphi y su información de versión afirma ser binario de “ByteCore Technologies 706092 Inc.”

Fig. 10 - Información de versión de EXE

Contiene un icono de PDF y muestra un error emergente de Acrobat Reader durante la ejecución. Si un usuario hace clic en el botón OK, realiza una conexión C2 con una dirección IP de AWS para luego comenzar la actividad de robo.

Fig. 11 - Mensaje de error

Este archivo está compilado con un compilador Embarcadero Delphi. Utiliza su propio Embarcadero URI Client para conectarse con un servidor remoto y actuar como agente de usuario. Luego se conecta a un servidor C&C 18[.]212[.]216[.]95:42195 y hxxp://18[.]212[.]216[.]95:42195/AudioCoreBCPbSecureNexusLink.xml a través de números de puerto inusuales. Verifica “C:\Program Files (x86)\Bitcoin” para posibles datos personales para robar.

También verifica el GUID del sistema desde el registro, el nombre de la computadora y el idioma desde la entrada del registro “HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Sorting\Versions.”
 

Conclusión: 

Los ciberdelincuentes están propagando el troyano bancario Grandoreiro en México, Argentina y España a través de correos electrónicos de phishing que se hacen pasar por una agencia tributaria. La campaña aprovecha los servidores alojados en Contabo y los servidores de Mediafire para entregar malware. El ataque involucra archivos ZIP maliciosos que contienen scripts VBS ofuscados que sueltan un EXE basado en Delphi. Una vez ejecutado, el malware roba credenciales, busca directorios de billeteras de Bitcoin y se conecta a un servidor C2. Los atacantes cambian frecuentemente los subdominios bajo contaboserver[.]net para evadir la detección. Los usuarios deben mantenerse cautelosos, evitar correos electrónicos desconocidos y usar herramientas de ciberseguridad para protegerse contra estas amenazas.

Declaración de protección: 

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

• Etapa 2 (Lure) – Entregado a través de URL sospechosa incrustada en un correo electrónico. Los correos electrónicos y las URLs incrustadas son bloqueados por análisis de correo electrónico y análisis web.
• Etapa 3 (Redirect) – URLs de redirección de mediafire.net bloqueadas que descargan la carga útil de la etapa.
• Etapa 5 (Dropper File) - Los archivos dropper se agregan a la base de datos maliciosa de Forcepoint y se bloquean.
• Etapa 6 (Call Home) - Direcciones IP de C&C bloqueadas.
   

Declaración de protección NGFW: 

• Los archivos dropper son bloqueados por el servicio de reputación de archivos GTI si está habilitado.

IOCs:

URL de descarga integradas:
hxxps://vmi2500223[.]contaboserver[.]net
hxxps://vmi2511216[.]contaboserver[.]net
hxxps://vmi2511206[.]contaboserver[.]net
hxxps://vmi2526272[.]contaboserver[.]net
hxxps://vmi2529183[.]contaboserver[.]net/
hxxps://vmi2492020[.]contaboserver[.]net/
hxxps://vmi2527550[.]contaboserver[.]net/

URL redireccionales:
hxxps://www[.]mediafire[.]com/file/ngb9r5swxbuz7xp/Ficha91159905YGSU02704481_2025.zip/file
hxxps://www[.]mediafire[.]com/file/qfyr6978p7s5nf2/DB#78613179435_SGJ9345624.zip/file

C2s:
98[.]81[.]92[.]194:30154
18[.]212[.]216[.]95:42195

Hash de archivo:
7ED66D3FE441216D7DD85DDA1A780C4404D8D8AF – EXE
284782A579307F7B6D6C7C504ECCC05EF7573FD2 - EXE
9D767A9830894B210C980F3ECF8494A1B1D3C813   - ZIP
7A32D66832C6C673E9C0A5E0EE80C4310546093B - ZIP
0372A8BB0B04927E866C50BEF993CDA8E2B8521D – VBS
A9919444948790ABE18F111EEEF91BEA2C1D4DD0 - VBS