ESET descubre Casbaneiro, un nuevo troyano bancario que roba criptomoneda. El descubrimiento también develó una a campaña maliciosa en correo electrónico y YouTube que está afectando especialmente a varios países de Latinoamérica.
Descubren troyano que roba criptomonedas denominado Casbaneiro. Este troyano se disfraza como una aplicación legítima en la mayoría de las campañas y se dirige principalmente a Brasil y México. que hace uso de diversas técnicas para ocultar la dirección de su servidor de C&C.
Descubren troyano que roba criptomonedas
Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, informó que Casbaneiro es un nuevo troyano bancario latinoamericano. Comparte características comunes de este tipo de malware, como el uso de ventanas emergentes falsas y la funcionalidad de backdoor.
“Este tipo de ataques se está volviendo cada vez más común apuntando a información sensible lo que permite provocar grandes daños a sus víctimas, la concientización y protección adecuadas son herramientas claves para estar protegidos”, acotó Gutierrez.
Principalmente, este malware se ha utilizado para robar criptomonedas. Analiza los contenidos del portapapeles para chequear si hay datos sobre la cartera de criptomonedas de la víctima. En caso de encontrar esos datos, el malware reemplaza la información por los datos de la cartera del ciberdelincuente.
Pero ¿Cómo funciona Casbaneiro?
La familia Casbaneiro se aprovecha de la ingeniería social para engañar a las víctimas mediante ventanas y formularios emergentes fraudulentos. Lops primeros ataques se llevan a cabo utilizando el correo electrónico. Este es el mismo método que utilizaba Amavaldo.
Con estos ataques, los ciberdelincuentes invitan a la víctima a realizar ciertas acciones de forma urgente, como instalar una actualización de software o verificar una tarjeta o datos bancarios.
Una vez que se ha instalado en el dispositivo de la víctima, Casbaneiro permite el acceso al sistema infectado y su control remoto permitiendo al atacante enviar, eliminar o modificar archivos, ejecutar programas, instalar herramientas maliciosas y extraer información de la víctima para enviársela a sí mismo, con el propósito de espiar y robar datos.
Luego, realiza capturas de pantalla, restringe el acceso a los sitios web oficiales de entidades bancarias y registra lo que se escribe en el teclado.
Cuidado en YouTube
ESET identificó que Casbaneiro comenzó a abusar de YouTube para almacenar sus dominios de servidor C&C.
Registrando dos cuentas diferentes utilizadas para este fin por parte de los operadores del malware: una centrada en recetas de cocina y la otra en fútbol.
Cada video en estos canales contiene una descripción donde al final hay un enlace a una URL falsa de Facebook o Instagram. El dominio del servidor C&C se almacena en este enlace.