Una de las claves del éxito de estas familias de troyanos bancarios son los ganchos que utilizan para conseguir nuevas víctimas. Y es que los delincuentes han tocado ya varios palos en las sucesivas campañas que venimos analizando desde hace años, aunque también es verdad que han tenido algunas más exitosas que otras. En esta ocasión nos encontramos con una supuesta citación judicial, algo que puede asustar a algunos usuarios y llevarlos a pulsar sobre el enlace que se proporciona en el cuerpo del mensaje.
Además, los delincuentes han remitido el email desde una dirección con apariencia legítima para hacer más creíble este correo y hacer que piquen más usuarios. Sin embargo, si nos fijamos en la URL a la que redirige el enlace, vemos que no tiene nada que ver con ninguna institución pública, y menos aún con ninguna que esté relacionada con el Ministerio de justicia.
En el caso de pulsar sobre el enlace, se producirá una redirección que terminará con la descarga de un archivo comprimido alojado en Azure, la nube de Microsoft. Aunque este tipo de ficheros maliciosos no suelen durar demasiado en estos servicios, a los delincuentes les basta con que estén activos durante unas horas para conseguir un importante número de víctimas.
Una vez descargado el fichero al sistema de la víctima vemos que dentro del archivo comprimido se encuentran dos archivos, siendo el más relevante el ejecutable con un tamaño de 82 MB. Este tamaño ya nos da una pista de por dónde pueden ir los tiros, y aunque ya son varias las familias de malware que inflan el tamaño de sus binarios para tratar de evadir las detecciones por parte de las soluciones de seguridad, se trata de una técnica muy usada por el malware Grandoreiro.
