El Ministerio del Interior español anunció la semana pasada la detención de 16 personas relacionadas con las familias de malware Grandoreiro y Melcoz (también conocido como Mekotio). Ambos son originarios de Brasil y forman parte de Tetrade, nombre que incluye a cuatro grandes familias de troyanos bancarios, creados, desarrollados y propagados por los piratas brasileños que operan en América Latina y Europa Occidental, con España como principal país europeo objetivo.
El trabajo realizado por la Guardia Civil de España consiguió llevar a cabo estas detenciones. Sin embargo, dado que ambas familias de malware tienen su origen en Brasil, los individuos detenidos en España probablemente sean sólo operadores. Es decir, es muy posible que los creadores de Grandoreiro y Melcoz sigan en Brasil, desde donde podrán desarrollar nuevas técnicas de malware y reclutar nuevos miembros en países de su interés.
Grandoreiro es una familia de troyanos bancarios que empezó a operar en Brasil y posteriormente en Europa Occidental. Kaspersky ha sido testigo de las campañas de Grandoreiro desde al menos 2016: los atacantes han ido mejorando regularmente sus técnicas, esforzándose por permanecer indetectables y activos durante más tiempo. Basándonos en análisis de las campañas realizados desde la compañía, podríamos afirmar que Grandoreiro opera como un proyecto de malware como servicio (MaaS). Desde enero de 2020, la telemetría de Kaspersky muestra que Grandoreiro ha atacado principalmente a Brasil, México, España, Portugal y Turquía.
En cuanto a Melcoz, esta familia de troyanos bancarios desarrollada por el grupo Tetrade ha estado activa desde al menos 2018. Por lo general, el malware utiliza scripts AutoIt o VBS, añadidos en archivos MSI, que ejecutan DLL maliciosas mediante la técnica DLL-Hijack, con el objetivo de eludir las soluciones de seguridad. Este malware roba las contraseñas de los navegadores y de la memoria del dispositivo, proporcionando acceso remoto para capturar el acceso a la banca por Internet. También incluye un módulo de robo de carteras de Bitcoin.
La telemetría confirma que, desde enero de 2020, Melcoz ha atacado activamente a Brasil, Chile y España, entre otros países.
