El Laboratorio de Investigación de ESET identificó una campaña maliciosa que propaga el troyano bancario Casbaneiro dirigida a usuarios de México. Se trata de una de las familias de malware bancario que registra mayor actividad en Latinoamérica en los últimos años y que ESET analiza como parte de la serie sobre troyanos bancarios de América Latina. En esta campaña de Casbaneiro, la amenaza además intenta recopilar direcciones de correo y según análisis previos, también cuenta con una funcionalidad para robar credenciales de acceso de correos electrónicos.

La distribución del malware en este caso se realiza a través de correos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI), un sistema de pago en línea utilizado en México.

El correo electrónico incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.

La etiqueta meta es utilizada en las páginas Web para indicar cuándo debe actualizarse el navegador o para direccionar a los visitantes a otro contenido, justo la acción que es realizada en este caso.

Los usuarios son dirigidos hacia un sitio que almacena los archivos, configurado con geolocalización por dirección IP para permitir únicamente conexiones desde México. En caso de intentar acceder desde una ubicación distinta, no se podrá observar el contenido del sitio.

La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios. Sin embargo, al revisar elementos como la dirección URL se observa que no se corresponde con la dirección del sitio legítimo.

En caso de la víctima avanzar en el proceso para la descarga de los comprobantes es dirigida al sitio WeTransfer para que descargue un archivo llamado “Comprobantes.zip”. Como ocurre con otros troyanos bancarios que operan en Latinoamérica, aclaran desde ESET, una de sus principales características es el uso de largas cadenas de distribución compuesta por múltiples etapas hasta finalmente llegar al payload malicioso. Esta característica se observa tanto en la descarga como en la ejecución de las cargas efectivas o payloads.

En la etapa de la descarga, el contenido del archivo comprimido se genera aparentemente de forma dinámica, ya que su nombre y tamaño varían en función de la descarga. A su vez, contiene otros dos archivos, también comprimidos, que una vez descomprimidos muestran dos archivos CMD. Estos son utilizados para descargar y ejecutar código malicioso. Es importante recordar que este tipo de archivos contienen instrucciones almacenadas como texto sin formato y son utilizados en los sistemas operativos Windows.

Desde ESET mencionan que las instrucciones de los archivos CMD son utilizadas para formar un comando escrito en PowerShell, y que en este caso la instrucción creada funciona como un downloader, ya que se encarga de descargar y ejecutar un segundo programa malicioso.

“En este punto el malware ha sido descargado en el sistema del usuario. La carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en la máquina comprometida. Además, el malware tiene la función de descargar un segundo payload que, entre otras acciones, está diseñado para robar credenciales de acceso de Outlook y enviarlos al atacante”,  mencionó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Este segundo payload es una variante del troyano bancario conocido como Casbaneiro, un troyano bancario que registra una importante actividad en latinoamericanos, fundamentalmente en México y Brasil.

Desde ESET aseguran que la principal recomendación para estar protegido de este tipo de campañas maliciosas es contar con una solución antimalware instalada en el dispositivo. La misma debe estar actualizada y correctamente configurada para que la detección de estos códigos maliciosos pueda realizarse de manera efectiva.

“Además, para evitar ser víctimas de estas campañas que buscan comprometer el equipo de la víctima para robar información, se debe hacer caso omiso de los mensajes que suenan demasiado buenos para ser verdaderos, ya que por lo general ocultan malas intenciones. Es importante tener presente que para la distribución de malware los cibercriminales suelen utilizar técnicas de Ingeniería Social para intentar engañar a los usuarios, por lo que la información y concientización resultan fundamentales para estar preparados y no caer en la trampa”, agregó Camilo Gutiérrez.