El troyano bancario Casbaneiro regresa con un nuevo email con factura

La saga de los troyanos bancarios con origen en América Latina continúa. Si en las últimas semanas hemos visto como las campañas del troyano Mekotio se han reactivado con fuerza tras unas semanas de descanso a finales del año pasado, ahora vemos como Casbaneiro, otra de estas familias de malware, vuelve a reaparecer con un email con una supuesta factura.

Factura adjunta al correo

La utilización de supuestas facturas como gancho es algo que tanto Casbaneiro como otro tipo de malware han utilizado en repetidas ocasiones durante los últimos meses. Es una temática que suele resultar bastante convincente y consigue engañar a un elevado número de usuarios, los suficientes como para seguir utilizándola a día de hoy.

En este caso, el cuerpo del mensaje hace referencia a una factura genérica emitida supuestamente por una empresa portuguesa y enviada a la filial española de una conocida empresa internacional de material para bricolaje y reformas. Además, en el cuerpo del mensaje se menciona a otra conocida empresa estadounidense de reformas y bricolaje.

La redacción del mensaje deja bastante que desear, no tanto por la ortografía si no por la construcción de las frases. Se nota que ha sido escrito por alguien que no habla español de forma nativa o se ha usado directamente un traductor automático. Sin embargo, esto no impide que más de un usuario se interese por saber a qué factura se refiere este correo, especialmente tras el incremento de las reformas en el hogar producido por los meses de confinamiento que llevamos acumulados.

Descarga y ejecución

Al pulsar sobre el archivo HTML veremos su contenido como si fuera una web, aunque en realidad no nos estamos conectando a ningún sitio todavía puesto que las imágenes, el texto y los enlaces se cargan de forma local a partir del código incluido en ese fichero. La referencia a una web de México y la mención a una empresa que no tiene presencia en España nos hace pensar que esta campaña puede estar dirigida a más de un país y que los delincuentes tratan de aprovechar el idioma para llegar al mayor número de víctimas posible.

La amenaza se encuentra, como se puede deducir al ver la imagen anterior, cuando se pulsa sobre la opción “Descargar PDF”. Es entonces cuando se nos redirige a un enlace preparado por los delincuentes donde se ejecuta un script y se procede a la descarga de un archivo comprimido.

Con respecto a este archivo comprimido descargado, podemos destacar que se trata de un fichero bastante grande, aunque esto no es una novedad en este tipo de campañas provenientes de América Latina.

En el interior de este archivo comprimido vemos que contiene dos ficheros, siendo uno de ellos un MSI, uno de los tipos de archivo preferidos por esta clase de delincuentes y que suelen actuar como malware encargado de volcar en el disco y ejecutar las amenazas preparadas en el sistema de la víctima.

En este caso, esta amenaza es detectada por las soluciones de seguridad de ESET como una variante del troyano Win32/Spy.Casbaneiro.BN. en caso de infectar el sistema, esperará a que la víctima se conecte a alguna de las webs de las entidades bancarias que tiene monitorizadas para robarle las credenciales de acceso y los códigos de verificación para realizar transferencias no autorizadas a cuentas controladas por los atacantes.

Conclusión

Tal y como acabamos de observar, las técnicas usadas por estas familias de troyanos bancarios siguen siendo bastante simples, a la vez que efectivas. Si con correos electrónicos de este estilo siguen consiguiendo un número suficiente de víctimas como para seguir realizando este tipo de campañas, esto significa que muchos usuarios siguen cayendo en estas trampas y hace falta generar más concienciación, a la par que fomentar el uso de soluciones de seguridad capaces de detectar y eliminar las amenazas a las que nos podamos enfrentar.

Josep Albors