Una nueva campaña del troyano bancario Casbaneiro, dirigida a computadoras con sistema operativo Windows, apunta a residentes de México. Así lo reportó a finales de diciembre la compañía de seguridad informática ESET.
Esta nueva campaña de distribución del malware Casbaneiro mediante phishing, detectada y reportada por el Laboratorio de Investigación de ESET, consiste en enviar correos electrónicos falsos, de un reconocido banco internacional, a potenciales víctimas en México.
Sponsored
Falsa donación de 7.400 dólares como anzuelo
El equipo de ESET señala que, en dicho correo, los atacantes le informan al posible afectado que ha recibido una donación de 148.000 pesos mexicanos, equivalentes a unos 7.400 dólares, mostrándole un falso comprobante de transacción realizada a través del Sistema de Pagos Electrónicos Interbancarios (SPEI), el cual es utilizado en México para pagos en línea.
De igual modo, “el correo electrónico incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas”.
Un malware con dos cargas útiles
Los usuarios son dirigidos a una página web que sólo permite conexiones desde México y que se hace pasar por una plataforma de facturación electrónica.
Si la potencial víctima accede, será direccionada a WebTransfer para la descarga de un archivo zip llamado “Comprobantes” que, junto a dos archivos CMD que también se bajan en el proceso, son los que descargan y ejecutan un software malicioso, de acuerdo con la publicación de ESET.
Casbaneiro tras las criptomonedas
Una vez instalado en el software malicioso en el equipo de la víctima, este roba información del sistema, así como también hace una verificación de presencia de antivirus en el dispositivo infectado.
Sin embargo, esa primera carga útil instalada no es todo lo que incluye el malware. Una segunda carga útil o payload es una variante del troyano bancario latino Casbaneiro, que no sólo puede robar fondos en criptomonedas, sino también direcciones de correos electrónicos Outlook y credenciales de acceso a dichas cuentas.
México y Brasil, principales afectados de Casbaneiro
Casbaneiro, también conocido como Metamorfo, fue detectado por primera vez por ESET en octubre de 2019, cuando la firma reportó importantes campañas hacia bancos y servicios de criptomonedas en México y Brasil.
El troyano realiza un análisis al contenido de portapapeles del dispositivo infectado de la víctima, en busca de datos de monederos de criptomonedas. En caso de encontrarlos, este software malicioso reemplaza los datos por los de monederos de los ciberatacantes.
Casbaneiro es un troyano bancario de la familia Amavaldo, “que registra mayor actividad en Latinoamérica en los últimos años”, indicó ESET. Según esta firma de ciberseguridad, en el tercer trimestre de 2020, México fue el segundo país de América Latina más afectado por tres troyanos bancarios originados en Brasil: Grandoreiro, Mekotio y Mispadu.
