Buscar

Troyano bancario Casbaneiro apunta a México con falsas transacciones de SPEI

La compañía de seguridad Informática, ESET, detecta una campaña que busca distribuir el malware bancario Casbaneiro que apunta a México y que ahora busca robar información de correos electrónicos.

 Ciudad de México, México – El Laboratorio de Investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña maliciosa que propaga el troyano bancario Casbaneiro dirigida a usuarios de México. Se trata de una de las familias de malware bancario que registra mayor actividad en Latinoamérica en los últimos años y que ESET analiza como parte de la serie sobre troyanos bancarios de América Latina. En esta campaña de Casbaneiro, la amenaza además intenta recopilar direcciones de correo y según análisis previos, también cuenta con una funcionalidad para robar credenciales de acceso de correos electrónicos.

La distribución del malware en este caso se realiza a través de correos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI), un sistema de pago en línea utilizado en México.

Imagen 1. Falso correo que suplanta la identidad de una reconocida entidad bancaria utilizado para la propagación del malware.

El correo electrónico incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.

La etiqueta meta es utilizada en las páginas Web para indicar cuándo debe actualizarse el navegador o para direccionar a los visitantes a otro contenido, justo la acción que es realizada en este caso.

Imagen 2. Etiqueta en el archivo HTML adjunto con la instrucción de direccionar a un sitio de descarga.

Los usuarios son dirigidos hacia un sitio que almacena los archivos, configurado con geolocalización por dirección IP para permitir únicamente conexiones desde México. En caso de intentar acceder desde una ubicación distinta, no se podrá observar el contenido del sitio.

La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios. Sin embargo, al revisar elementos como la dirección URL se observa que no se corresponde con la dirección del sitio legítimo.

Imagen 3. Falso sitio utilizado como parte de la cadena de distribución del malware que suplanta la identidad de una plataforma de facturación electrónica.

En caso de la víctima avanzar en el proceso para la descarga de los comprobantes es dirigida al sitio WeTransfer para que descargue un archivo llamado “Comprobantes.zip”. Como ocurre con otros troyanos bancarios que operan en Latinoamérica, aclaran desde ESET, una de sus principales características es el uso de largas cadenas de distribución compuesta por múltiples etapas hasta finalmente llegar al payload malicioso. Esta característica se observa tanto en la descarga como en la ejecución de las cargas efectivas o payloads.

Imagen 4. Plataforma WeTransfer para la transferencia de archivos utilizada para alojar malware.

En la etapa de la descarga, el contenido del archivo comprimido se genera aparentemente de forma dinámica, ya que su nombre y tamaño varían en función de la descarga. A su vez, contiene otros dos archivos, también comprimidos, que una vez descomprimidos muestran dos archivos CMD. Estos son utilizados para descargar y ejecutar código malicioso. Es importante recordar que este tipo de archivos contienen instrucciones almacenadas como texto sin formato y son utilizados en los sistemas operativos Windows.

Imagen 5. Archivos CMD comprimidos incluidos dentro del archivo “Comprobantes.zip”.

Desde ESET mencionan que las instrucciones de los archivos CMD son utilizadas para formar un comando escrito en PowerShell, y que en este caso la instrucción creada funciona como un downloader, ya que se encarga de descargar y ejecutar un segundo programa malicioso.

“En este punto el malware ha sido descargado en el sistema del usuario. La carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en la máquina comprometida. Además, el malware tiene la función de descargar un segundo payload que, entre otras acciones, está diseñado para robar credenciales de acceso de Outlook y enviarlos al atacante.” comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Este segundo payload es una variante del troyano bancario conocido como Casbaneiro, un troyano bancario que registra una importante actividad en latinoamericanos, fundamentalmente en México y Brasil.

Desde ESET aseguran que la principal recomendación para estar protegido de este tipo de campañas maliciosas es contar con una solución antimalware instalada en el dispositivo. La misma debe estar actualizada y correctamente configurada para que la detección de estos códigos maliciosos pueda realizarse de manera efectiva.

“Además, para evitar ser víctimas de estas campañas que buscan comprometer el equipo de la víctima para robar información, se debe hacer caso omiso de los mensajes que suenan demasiado buenos para ser verdaderos, ya que por lo general ocultan malas intenciones. Es importante tener presente que para la distribución de malware los cibercriminales suelen utilizar técnicas de Ingeniería Social para intentar engañar a los usuarios, por lo que la información y concientización resultan fundamentales para estar preparados y no caer en la trampa”, agrega Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/12/28/malware-bancario-casbaneiro-apunta-mexico-falsas-transacciones-spei/

Acerca de ESET 

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo.