Jesús Obrador Ayllón

Este artículo resume las conclusiones del análisis técnico realizado por el equipo de malware de Telefónica Tech sobre las campañas recientes de Grandoreiro. El documento completo, disponible para descarga, detalla la cadena de infección del malware, sus mecanismos de evasión y las técnicas para mantener la comunicación con su infraestructura de mando y control. El malware Grandoreiro se ha consolidado como uno de los troyanos bancarios más activos, persistentes y sofisticados. Originado en Brasil y activo desde 2016, ha evolucionado de campañas centradas en entidades financieras locales a ser una amenaza continua para empresas y usuarios hispanohablantes de todo el mundo. Su actividad ha mantenido bajo presión a entidades financieras de distintos países. Lejos de desaparecer, el malware ha incorporado técnicas avanzadas para dificultar su análisis y detección. Incluso tras la operación coordinada por INTERPOL en marzo de 2024, que desarticuló parte de su infraestructura, los operadores de Grandoreiro demostraron una notable capacidad de adaptación y recuperación. Buena parte de esa resiliencia reside en su capacidad para modificar campañas, rotar infraestructura y adoptar nuevos mecanismos de evasión y comunicación. Esto lo convierte en una amenaza significativa para los equipos de Ciberseguridad y threat hunting. De phishing a C2 dinámico: así funciona Grandoreiro Grandoreiro, desarrollado en Delphi y distribuido principalmente mediante phishing, destaca por incorporar técnicas avanzadas de evasión, persistencia y comunicación con infraestructuras de mando y control (C2). En el equipo de malware de Telefónica Tech hemos analizado las campañas recientes de esta familia, examinando toda la cadena de infección, desde la ejecución inicial mediante scripts VBS y técnicas de DLL side-loading hasta la descarga y ejecución de múltiples etapas directamente en memoria. Nuestro estudio examina componentes clave del malware, incluyendo mecanismos de antianálisis, procesos de fingerprinting para identificar y perfilar a las víctimas, algoritmos de cifrado personalizados y procedimientos de actualización del propio malware. Además, en el documento detallamos los indicadores y comprobaciones que utiliza Grandoreiro para detectar entornos sandbox, herramientas de análisis o sistemas virtualizados, y la lógica para ajustar su ejecución según el contexto del sistema comprometido. DGA, DNS sobre HTTPS y técnicas avanzadas de evasión Un aspecto interesante de Grandoreiro es la sofisticación de sus mecanismos de comunicación con la infraestructura C2. El malware emplea generación dinámica de dominios (DGA) junto con consultas DNS over HTTPS para resolver direcciones y mantener las comunicaciones activas, complicando el bloqueo y monitorización. El análisis de nuestros expertos en Telefónica Tech incluye replicar el algoritmo DGA usado por las muestras recientes. Esto permite anticipar y monitorizar en tiempo real los posibles dominios asociados a su infraestructura maliciosa. Además del uso de DGA, el malware incorpora otros mecanismos para reforzar su resiliencia operativa, como la derivación dinámica de puertos a partir de la resolución DNS, cifrado personalizado para las comunicaciones y capas de evasión para dificultar el análisis automatizado y la investigación forense. ■ Esto permite entender la operativa interna de Grandoreiro y cómo este tipo de amenazas mantienen infraestructuras activas incluso después de operaciones internacionales de desarticulación. Un análisis orientado a la detección y el hunting Además del análisis estático del malware, el documento técnico se centra en elementos útiles para equipos de detección, investigación e inteligencia de amenazas. El documento detalla los procedimientos observados durante la investigación, incluyendo mecanismos de evasión frente a entornos sandbox y herramientas de análisis, lógica de actualización, técnicas de cifrado y comportamiento de sus servidores de distribución y control. La replicación de componentes como el algoritmo DGA o parte de la lógica de resolución de infraestructura permite desarrollar capacidades de monitorización proactiva para identificar actividad asociada a Grandoreiro antes de que determinados dominios o infraestructuras se utilicen en campañas activas. ■ Descarga el documento completo Grandoreiro: análisis técnico de su cadena de infección, C2 y DGA ⬇️ para conocer los procedimientos observados durante el análisis. Incluye identificación y descripción de sus mecanismos de evasión frente a entornos sandbox y herramientas de análisis, la lógica de actualización del malware, sus métodos de cifrado personalizados y el funcionamiento de sus servidores de distribución y control.