Troyano bancario Casbaneiro parece no cesar sus acciones maliciosas según nueva investigación realizada por el equipo de seguridad de ESET que dio cuenta de una reciente campaña que intenta recopilar direcciones de correo y robo de credenciales a usuarios de México.
Como hemos mencionado en boletines anteriores, Casbaneiro está dentro de unas de las familias de malware bancario con mayor registro de actividad en Latinoamérica en los últimos años.
Antecedentes del troyano Casbaneiro
Este troyano bancario tiene como objetivo principal entidades bancarias y servicios de criptomonedas, su método utilizado consiste en mostrar ventanas emergentes falsas con la finalidad de que su víctima proporcione información confidencial y así robar información bancaria.
Lo que mantiene a este troyano activo es su capacidad de ocultar el dominio y el puerto de los servidores de C&C que utiliza.
Campañas anteriores evidenciadas:
Nueva Campaña de engaño
En esta nueva aparición el método de operar del troyano se basa a través de correos electronicos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI), un sistema de pago en línea utilizado en México.
Distribución del malware:
Como ocurre con otros troyanos bancarios que operan en Latinoamérica, una de sus principales características es el uso de largas cadenas de distribución compuesta por múltiples etapas hasta finalmente llegar al payload malicioso. Esta característica se observa tanto en la descarga como en la ejecución de las cargas efectivas o payloads.
Panorama
Esta variante del troyano bancario conocido como Casbaneiro que como hemos mencionado registra una importante actividad en latinoamérica y que durante este 2020 ha dado el salto a otros países fuera de su región como es el caso de México. Además, en un aspecto aún más complejo, los expertos advierten de la posibilidad de que estas familias de troyanos bancarios provenientes de Brasil compartan varias similitudes atribuibles a un esfuerzo de colaboración entre múltiples actores de amenazas.
El Centro de Ciberinteligencia de Entel recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Tipo | Indicador |
---|---|
hash | 0005072e88ffc574c8dbd0fb5cc... |
hash | 01ee7e54755033fe8dbbdfa3c58... |
hash | 4fa225f3c59b00a55bbfbd76dda... |
hash | 9d43bda64c23788dcb443b63349... |