Casbaneiro, troyano bancario latinoamericano

Entre las amenazas más detectadas recientemente, se encuentran los troyanos bancarios, especialmente aquellos relacionadas con las familias de malware provenientes de Brasil, país que es un importante generador de varias familias de malware distintas que han plagado a los clientes bancarios latinoamericanos durante años, con variantes como Amavaldo, Mekotio, Grandoreiro y Casbaneiro, por mencionar algunos, muchos de los cuales hemos seguido en nuestros boletines del presente año y que según una investigación de ESET comparten varias similitudes atribuibles a un probable esfuerzo de colaboración entre múltiples actores de amenazas.

Troyano Casbaneiro

Este troyano bancario tiene como objetivo principal entidades bancarias y servicios de criptomonedas, su método utilizado es mostrar ventanas emergentes falsas con la finalidad de que su víctima proporcione información confidencial y así robar información bancaria.

Los principales datos que recopila de sus víctimas son:

•  Lista de antivirus instalados
• Versión del sistema operativo
•  Nombre de usuario
•  Nombre del computador
• Si está instalado un software de interés específico, como aplicaciones bancarias

Características

Lo que mantiene a este troyano activo es su capacidad de ocultar el dominio y el puerto de los servidores de C&C que utiliza. Algunos de los métodos usuales utilizados:

• Almacenamiento de la información de C&C en un archivo de Google Docs encriptada y codificada en hexadecimal.
• Ocultamiento de la dirección de dominio C&C dentro de los metadatos de un sitio web.
• Ocultamiento de la dirección de dominio C&C incrustados en una URL de Facebook ubicada dentro de la descripción de videos.

Campañas evidenciadas:

Campaña de Casbaneiro 2020 con señuelos temáticos covid-19

Campaña de correo electrónico de spearphishing adjuntando un link que gesta la descarga de un archivo malicioso en formato ZIP llamado “corona.zip”, el cual contiene instalador MSI (Instaladores de Microsoft) que actúa como un cuentagotas del archivo “DdmGaQ8r.exe” que es el responsable de finalmente instalar Casbaneiro.

Campaña de Casbaneiro 2020 apunta a víctimas con facturas falsas

Campaña de correo electrónico de spearphishing adjuntando un enlace a una factura falsa que supuestamente las víctimas debían pagar. Dicho enlace solicitaba la descarga de un archivo PDF, el cual contenía un hipervínculo que generaba la descarga de un archivo ZIP llamado “master.zip”.

Campaña malspam Casbaneiro haciéndose pasar por el Registro Civil de Chile.

En diciembre de 2019, Casbaneiro lanzó una campaña de correo electrónico de phishing suplantando al Servicio de Identificación y Registro Civil de Chile. El correo indicaba la necesidad de descargar una aplicación para renovar el Registro Único Tributario, sin embargo, esto provocaba la instalación del troyano Casbaneiro.

Panorama

Ya son varios los troyanos con origen en Latinoamérica que han dado el salto a otros países fuera de su región como es el caso de México. El análisis de otras familias de malware similar como Amavaldo o Mekotio demuestran que los delincuentes hace meses que añadieron a usuarios de otras nacionalidades entre sus principales objetivos.

En un aspecto aún más complejo, los expertos advierten de la posibilidad de que estas familias de troyanos bancarios provenientes de Brasil, comparten varias similitudes atribuibles a un esfuerzo de colaboración entre múltiples actores de amenazas.

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.