El Laboratorio de Investigación de ESET identificó una campaña maliciosa que propaga el troyano bancario Casbaneiro dirigida a usuarios de México. Se trata de una de las familias de malware bancario que registra mayor actividad en Latinoamérica en los últimos años y que hemos estado analizado como parte de nuestra serie sobre troyanos bancarios de América Latina. En esta campaña de Casbaneiro, la amenaza además intenta recopilar direcciones de correo y según análisis previos que hemos realizado sobre este troyano, también cuenta con una funcionalidad para robar credenciales de acceso de correos electrónicos.

La distribución del malware en este caso se realiza a través de correos que se hacen pasar por comunicaciones legítimas de un reconocido banco internacional para intentar engañar a sus víctimas. El mensaje hace referencia a una supuesta transferencia monetaria realizada mediante el Sistema de Pagos Electrónicos Interbancarios (SPEI), un sistema de pago en línea utilizado en México.

Imagen 1. Falso correo que suplanta la identidad de una reconocida entidad bancaria utilizado para la propagación del malware.

El correo electrónico incluye un archivo HTML adjunto como imagen llamado “COMPROBANTE_SPEI_161220.html”, que únicamente contiene la etiqueta “meta” para direccionar al usuario hacia un sitio de descargas.

La etiqueta meta es utilizada en las páginas Web para indicar cuándo debe actualizarse el navegador o para direccionar a los visitantes a otro contenido, justo la acción que es realizada en este caso.

Imagen 2. Etiqueta en el archivo HTML adjunto con la instrucción de direccionar a un sitio de descarga.

Los usuarios son dirigidos hacia un sitio que almacena los archivos, configurado con geolocalización por dirección IP para permitir únicamente conexiones desde México. En caso de intentar acceder desde una ubicación distinta, no se podrá observar el contenido del sitio.

La página a la cual se direcciona intenta suplantar la imagen de una plataforma de facturación electrónica con el propósito de engañar a los usuarios. Sin embargo, al revisar elementos como la dirección URL se observa que no se corresponde con la dirección del sitio legítimo.

Imagen 3. Falso sitio utilizado como parte de la cadena de distribución del malware que suplanta la identidad de una plataforma de facturación electrónica.

En caso de la víctima avanzar en el proceso para la descarga de los comprobantes es dirigida al sitio WeTransfer para que descargue un archivo llamado “Comprobantes.zip”.

Como ocurre con otros troyanos bancarios que operan en Latinoamérica, una de sus principales características es el uso de largas cadenas de distribución compuesta por múltiples etapas hasta finalmente llegar al payload malicioso. Esta característica se observa tanto en la descarga como en la ejecución de las cargas efectivas o payloads.

Imagen 4. Plataforma WeTransfer para la transferencia de archivos utilizada para alojar malware.

En la etapa de la descarga, el contenido del archivo comprimido se genera aparentemente de forma dinámica, ya que su nombre y tamaño varían en función de la descarga. A su vez, contiene otros dos archivos, también comprimidos, que una vez descomprimidos muestran dos archivos CMD. Como veremos más adelante, estos son utilizados para descargar y ejecutar código malicioso. Recordemos que este tipo de archivos contienen instrucciones almacenadas como texto sin formato y son utilizados en los sistemas operativos Windows.

Imagen 5. Archivos CMD comprimidos incluidos dentro del archivo “Comprobantes.zip”.

Archivos CMD

Las instrucciones de los archivos CMD son utilizadas para formar un comando escrito en PowerShell, tal como se observa en la Imagen 6. En este caso la instrucción creada funciona como un downloader, ya que se encarga de descargar y ejecutar un segundo programa malicioso mediante el método WebClient.DownloadString().

Esta instrucción incluye parámetros de PowerShell para operar de forma sigilosa, como “-nop” (no profile: para no cargar algún perfil predefinido de PowerShell) y “-w 1” (window style: para ejecutar la instrucción en segundo plano).

Imagen 6. Instrucciones de uno de los archivos CMD para crear comando de PowerShell.

 

En este punto el malware ha sido descargado en el sistema del usuario. La carga maliciosa a partir de los archivos CMD obtiene información del sistema y verifica si existen productos antivirus instalados en la máquina comprometida. Además, como mencionamos al principio, el malware tiene la función de descargar un segundo payload que, entre otras acciones, está diseñado para robar credenciales de acceso de Outlook y enviarlos al atacante.

Este segundo payload es una variante del troyano bancario conocido como Casbaneiro (detectado por las soluciones de seguridad de ESET como Win32/Spy.Casbaneiro.BS), un troyano bancario que como hemos mencionado en otros artículos en los que analizamos la amenaza, registra una importante actividad en latinoamericanos, fundamentalmente en México y Brasil.

Recomendaciones de seguridad

La principal recomendación para estar protegido de este tipo de campañas maliciosas es contar con una solución antimalware instaladas en el dispositivo. Asimismo, la misma debe estar actualizada y correctamente configurada para que la detección de estos códigos maliciosos pueda realizarse de manera efectiva.

Además, para evitar ser víctimas de estas campañas que buscan comprometer el equipo de la víctima para robar información, se debe hacer caso omiso de los mensajes que suenan demasiado buenos para ser verdaderos, ya que por lo general ocultan malas intenciones. Es importante tener presente que para la distribución de malware los cibercriminales suelen utilizar técnicas de Ingeniería Social para intentar engañar a los usuarios, por lo que la información y concientización resultan fundamentales para estar preparados y no caer en la trampa.