Eset ha descubierto un nuevo troyano bancario, que ha denominado Casbaneiro, que está afectando a diversos países de Latinoamérica como Brasil o México, pero que también se ha detectado en España. Este troyano comparte funcionalidades con el malware Amavaldo, ya que usa el mismo algoritmo criptográfico y se distribuye con herramientas similares en el correo electrónico.
El troyano Casbaneiro engaña a las víctimas mediante ventanas y formularios emergentes fraudulentos similares a los que muestra el malware Amavaldo. De este modo, los ciberdelincuentes invitan a la víctima a realizar ciertas acciones de forma urgent como instalar una actualización de software o verificar una tarjeta o los datos bancarios.
Una vez que se ha instalado en el dispositivo de la víctima, utiliza comandos de backdoor para realizar capturas de pantalla, restringir el acceso a webs oficiales de entidades bancarias y registrar las pulsaciones en el teclado.
Este malware también se utiliza para robar criptomonedas analizando los contenidos del portapapeles para comprobar si hay datos sobre la cartera de criptomonedas de la víctima. Si los encuentra, reemplaza la información por los datos de los ciberdelincuentes.
Según señala Eset, este malware utiliza múltiples algoritmos criptográficos utilizados para ocultar cadenas de código en archivos ejecutables y para descifrar la carga maliciosa y los datos de configuración. Usa el correo electrónico como vector inicial de ataque y, además, esconde el dominio del servidor C&C y el puerto utilizado para conectarse, a través de falsas entradas DNS o en documentos online que se almacenan en Google Docs o insertado en webs falsas que simulan ser instituciones legítimas.
