Casbaneiro: un nuevo troyano bancario que roba criptomonedas

El malware está afectando especialmente a varios países de Latinoamérica y a España

ESET, ha anunciado el descubrimiento de un nuevo troyano bancario denominado como Casbaneiro, que está afectando especialmente a diversos países de Latinoamérica, como México o Brasil, pero que también ha mostrado incidencias en España. Este malware comparte funcionalidades con la familia Amavaldo, ya que ambos utilizan el mismo algoritmo criptográfico y se distribuyen con herramientas similares que abusan del correo electrónico.

Casbaneiro, también conocido como Metamorfo, utiliza el mismo método de ingeniería social que algunos malwares de la misma especie(bancarios), consiste en desplegar ventanas emergentes falsas con el objetivo de intentar persuadir a las potenciales víctimas para que ingresen información confidencial, como verificar una tarjeta, datos bancarios o actualizaciones de software. Una vez que se ha instalado en el dispositivo de la víctima, Casbaneiro utiliza comandos de backdoor para realizar capturas de pantalla, restringir el acceso a webs, descargar y ejecutar otros ejecutables y registra las pulsaciones en el teclado, luego los envía a sus servidores C&C.  Además, se utiliza para robar criptomonedas analizando los contenidos del portapapeles para comprobar si hay datos sobre la cartera de criptomonedas de la víctima. En caso de encontrar estos datos, el malware reemplaza la información por los datos de la cartera del ciberdelincuente.

Los comandos recibidos del servidor C&C son cifrados con AES-256 y para ello se utiliza la biblioteca SynCrypto Delphi. La clave AES se obtiene desde una contraseña almacenada en binario, a través de SHA-256. No se almacena como una string, sino que se concatena a partir de piezas separadas en el runtime.

En algunas campañas de Casbaneiro, el troyano se cifra y se asocia con un injector. El algoritmo utilizado para descifrar el payload binario principal en estos casos es exactamente el mismo que utiliza el injector de Amavaldo. Casi siempre, las cadenas de distribución de Casbaneiro suelen comenzar por un correo electrónico malicioso.

Casbaneiro es fácil de identificar porque utiliza una gran tabla de strings, con varios cientos de entradas. Las strings son recuperadas accediendo a esta tabla mediante un índice. Curiosamente, cada vez que el malware necesita obtener una string, la tabla de strings completa se construye en la memoria a partir de fragmentos almacenados de texto cifrado; la string deseada se descifra y la tabla completa se descarta nuevamente.

Fuente: https://www.welivesecurity.com

Comments are closed.