Nueva campaña evidenciada de malware bancario Casbaneiro

Troyano bancario Casbaneiro parece no cesar sus acciones maliciosas según nueva investigación realizada por el equipo de seguridad de ESET que dio cuenta de una reciente campaña que intenta recopilar direcciones de correo y robo de credenciales a usuarios de México. 

Como hemos mencionado en boletines anteriores, Casbaneiro está dentro de unas de las familias de malware bancario con mayor registro de actividad en Latinoamérica en los últimos años.

Antecedentes del troyano Casbaneiro 

Este troyano bancario tiene como objetivo principal entidades bancarias y servicios de criptomonedas, su método utilizado consiste en mostrar ventanas emergentes falsas con la finalidad de que su víctima proporcione información confidencial y así robar información bancaria.

Lo que mantiene a este troyano activo es su capacidad de ocultar el dominio y el puerto de los servidores de C&C que utiliza. 

Campañas anteriores evidenciadas:

• Campaña de Casbaneiro 2020 con señuelos temáticos covid-19
• Campaña de Casbaneiro 2020 apunta a víctimas con facturas falsas
• Campaña malspam Casbaneiro haciéndose pasar por el Registro Civil de Chile.

Nueva Campaña de engaño 

En esta nueva aparición el método de operar del troyano se basa a través de correos electronicos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI), un sistema de pago en línea utilizado en México.

Distribución del malware:

• El correo electrónico incluye un archivo HTML adjunto como imagen, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.
• Los usuarios son redirigidos hacia un sitio que almacena los archivos configurados con geolocalización por dirección IP para permitir únicamente conexiones desde México. En caso de intentar acceder desde una ubicación distinta, no se podrá observar el contenido del sitio.
• La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios. Al revisar la dirección URL se observa que no corresponde con la dirección del sitio legítimo.

Como ocurre con otros troyanos bancarios que operan en Latinoamérica, una de sus principales características es el uso de largas cadenas de distribución compuesta por múltiples etapas hasta finalmente llegar al payload malicioso. Esta característica se observa tanto en la descarga como en la ejecución de las cargas efectivas o payloads.

Panorama

Esta variante del troyano bancario conocido como Casbaneiro que como hemos mencionado registra una importante actividad en latinoamérica y que durante este  2020 ha dado el salto a otros países fuera de su región como es el caso de México. Además, en un aspecto aún más complejo, los expertos advierten de la posibilidad de que estas familias de troyanos bancarios provenientes de Brasil compartan varias similitudes atribuibles a un esfuerzo de colaboración entre múltiples actores de amenazas.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.