Un virus que decide a quién infectar: ​​¿democracia o discriminación?

Se ha detectado una nueva campaña de phishing en América Latina que involucra al conocido troyano bancario Grandoreiro. Este malware no solo roba datos confidenciales de los usuarios, sino que también aplica filtrado geográfico para evitar ser detectado fuera de las regiones objetivo. Gracias a estas técnicas, el malware evade fácilmente los métodos tradicionales de protección y continúa propagándose.

Según los datos de los analistas de ANY.RUN, entre el 19 de febrero y el 14 de marzo se registró un aumento de actividad relacionado con Grandoreiro. Los indicios apuntan a que la campaña aún continúa. El principal objetivo del malware es robar credenciales bancarias y proporcionar acceso remoto al dispositivo de la víctima. Aunque Grandoreiro existe desde hace varios años, su estructura cambia constantemente, lo que le permite evitar la detección.

Una de las características clave de la actual ola de ataques es el geofencing: verificación de la dirección IP de la víctima antes de ejecutar el código principal. Si la dirección no corresponde a la región objetivo, el malware simplemente deja de ejecutarse. Esta táctica no solo hace que el ataque sea más preciso, sino que también le permite pasar desapercibido en los sistemas de monitoreo globales.

El ataque comienza con un correo electrónico de phishing en el que se le propone al usuario descargar un documento, supuestamente en formato PDF. En realidad, se trata de un archivo comprimido con extensión «.zip» o «.rar» que contiene el cargador de Grandoreiro. Tras extraerlo y ejecutarlo, el malware se conecta a ip-apicom para determinar la ubicación geográfica. Si la víctima se encuentra fuera de América Latina, la ejecución se interrumpe.

La siguiente etapa consiste en evadir las protecciones a nivel de DNS. En lugar de consultar el servidor DNS local, el malware envía una solicitud al servicio dns.google. De esta forma obtiene la dirección IP del servidor de control y evita bloqueos basados en filtros DNS estándar. Luego, Grandoreiro envía una solicitud GET a la dirección obtenida y establece una conexión con el centro de comando, desde donde puede recibir módulos maliciosos adicionales o instrucciones para una penetración más profunda.

Durante el ataque se activan diversas técnicas que corresponden a las categorías de MITRE ATT&CK. Grandoreiro es capaz de eliminar rastros de su presencia, recopilar datos, explorar el sistema y acceder a credenciales. El análisis en sandbox muestra que el código malicioso activa de inmediato varios métodos de ocultación y reconocimiento, lo que lo hace especialmente peligroso en entornos corporativos.

Las soluciones antivirus clásicas a menudo no detectan estas acciones. Sin embargo, los sandbox interactivos permiten observar en tiempo real todo el ciclo de vida del malware, identificar indicadores clave de compromiso y responder a tiempo. Desde el falso archivo PDF hasta la transferencia oculta de datos a un servidor externo, cada etapa se registra y se refleja en el análisis.

Para detectar eficazmente este tipo de amenazas, los especialistas recomiendan prestar atención a los archivos comprimidos sospechosos descargados desde enlaces en correos electrónicos, monitorear las consultas a servicios DNS externos justo después de ejecutar archivos, así como las solicitudes a API de geolocalización por IP. El análisis del comportamiento juega un papel crucial, especialmente para detectar acciones posteriores a la infección.

El ataque de Grandoreiro es un ejemplo de cómo los malware modernos se vuelven cada vez más sofisticados. Eluden la protección no por fuerza, sino gracias al sigilo y la adaptabilidad. En estas condiciones, la observación del comportamiento y el análisis profundo se convierten en las herramientas más importantes para prevenir las consecuencias.