ESET descubre Casbaneiro, un nuevo troyano bancario que roba criptomonedas

-
Cables
-

La compaƱƭa de seguridad informĆ”tica, ESET, identificĆ³ una campaƱa maliciosa que estĆ” afectando especialmente a varios paĆ­ses de LatinoamĆ©rica y un troyano que hace uso de diversas tĆ©cnicas para ocultar la direcciĆ³n de su servidor de C&C

El laboratorio de InvestigaciĆ³n de ESET, anunciĆ³ el descubrimiento de un nuevo troyano bancario que estĆ” afectando especialmente a diversos paĆ­ses de LatinoamĆ©rica, principalmente a MĆ©xico y Brasil. El mismo fue denominado Casbaneiro por el laboratorio de ESET, malware comparte funcionalidades con la familia Amavaldo, ya que ambos utilizan el mismo algoritmo criptogrĆ”fico y se distribuyen con herramientas similares que buscan aprovecharse del correo electrĆ³nico.

La familia Casbaneiro se aprovecha de la ingenierĆ­a social para engaƱar a las vĆ­ctimas mediante ventanas y formularios emergentes fraudulentos. El vector inicial de ataque es el correo electrĆ³nico, el mismo mĆ©todo que utilizaba Amavaldo. Con estos ataques, los ciberdelincuentes invitan a la vĆ­ctima a realizar ciertas acciones de forma urgente, como instalar una actualizaciĆ³n de software o verificar una tarjeta o datos bancarios.

Una vez que se ha instalado en el dispositivo de la vĆ­ctima, Casbaneiro utiliza comandos de backdoor (troyano que permite el acceso al sistema infectado y su control remoto permitiendo al atacante enviar, eliminar o modificar archivos, ejecutar programas, instalar herramientas maliciosas y extraer informaciĆ³n de la vĆ­ctima para enviĆ”rsela a sĆ­ mismo, con el propĆ³sito de espiar y robar datos) para realizar capturas de pantalla, restringir el acceso a webs oficiales de entidades bancarias y registrar las pulsaciones en el teclado. AdemĆ”s, se utiliza para robar criptomonedas analizando los contenidos del portapapeles para chequear si hay datos sobre la cartera de criptomonedas de la vĆ­ctima. En caso de encontrar estos datos, el malware reemplaza la informaciĆ³n por los datos de la cartera del ciberdelincuente.

Casbaneiro recopila la siguiente informaciĆ³n de sus vĆ­ctimas:

  • Lista de productos antivirus instalados
  • VersiĆ³n del Sistema Operativo (SO)
  • Nombre de usuario
  • Nombre de la computadora
  • Si alguno de los siguientes software estĆ” instalado:
    o Diebold Warsaw GAS Tecnologia (una aplicaciĆ³n para proteger el acceso a la banca en lĆ­nea)
    o Trusteer
    o Varias aplicaciones bancarias latinoamericanas

La familia de malware Casbaneiro se caracteriza por el uso de mĆŗltiples algoritmos criptogrĆ”ficos utilizados para ocultar cadenas de cĆ³digo en archivos ejecutables y para descifrar la carga maliciosa y datos de configuraciĆ³n. Uno de los aspectos distintivos de Casbaneiro es su esfuerzo por esconder el dominio del servidor C&C (Centro de Comando & Control – Servidor administrado por un botmaster que permite controlar y administrar los equipos zombis infectados por un bot) y el puerto utilizado para conectarse.

ESET identificĆ³ que Casbaneiro comenzĆ³ a abusar de YouTube para almacenar sus dominios de servidor C&C, registrando dos cuentas diferentes utilizadas para este fin por parte de los operadores de la amenaza: una centrada en recetas de cocina y la otra en fĆŗtbol. Cada video en estos canales contiene una descripciĆ³n donde al final hay un enlace a una URL falsa de Facebook o Instagram. El dominio del servidor C&C se almacena en este enlace.

ā€œCasbaneiro es un nuevo troyano bancario latinoamericano que comparte las caracterĆ­sticas comunes de este tipo de malware, como el uso de ventanas emergentes falsas y la funcionalidad de backdoor. Se disfraza como una aplicaciĆ³n legĆ­tima en la mayorĆ­a de las campaƱas y se dirige principalmente a Brasil y MĆ©xico. Hay fuertes indicadores que nos llevan a creer que Casbaneiro estĆ” estrechamente relacionado con Amavaldo ya que utilizan el mismo algoritmo criptogrĆ”fico poco comĆŗn y se los ha visto distribuir una herramienta de correo electrĆ³nico muy similar.ā€, menciona Camilo Gutierrez, Jefe del Laboratorio de InvestigaciĆ³n de ESET Latinoamerica. ā€œEste tipo de ataques se estĆ” volviendo cada vez mĆ”s comĆŗn apuntando a informaciĆ³n sensible lo que permite provacar grandes daƱos a sus victimas, la concientizaciĆ³n sy protecciĆ³n adecuadas son herramientas claves para estar protegidosā€.

ESET acerca #quenotepase, con informaciĆ³n Ćŗtil para evitar que situaciones cotidianas afecten la privacidad en lĆ­nea.

De manera de conocer mƔs sobre seguridad informƔtica ingrese al portal de noticias de ESET haciendo click aquƭ

MƔs noticias...MƔs noticias de este periodista