© 2020 Bitcoin Mexico - El mejor portal Bitcoin.
All rights reserved.
Contact by email info@bitcoin.com.mx.
El laboratorio de Investigación de ESET, dedicado al análisis y detección de amenazas cibernéticas, descubrió un nuevo malware troyano bancario, el cual tiene por objetivo, robar activos digitales o criptomonedas, además de estar especialmente extendido en América Latina.
El virus denominado por ESET como "Casbaneiro" o "Metamorfo", está enfocado en atacar bancos y servicios de monedas digitales localizados principalmente en México y Brasil, así lo señaló la firma de seguridad el pasado 3 de octubre por medio de un comunicado.
De acuerdo con la información presentada por ESET, Casbaneiro funciona a partir de un método de ejecución de ingeniería social, el cual muestra ventanas emergentes falsas a los usuarios con la finalidad de engañarlos para que ingresen información sensible.
“Casbaneiro, también conocido como Metamorfo, es un troyano bancario latinoamericano típico que apunta a los bancos y servicios de criptomonedas en Brasil y México. Utiliza el método de ingeniería social descrito en la introducción a nuestro artículo anterior, donde se muestran ventanas emergentes falsas. Estas ventanas emergentes intentan persuadir a las víctimas potenciales para que ingresen información confidencial; Si tiene éxito, esa información es robada”.
Este malware cuenta con herramientas y capacidades muy similares a otros troyanos bancarios de su tipo, los cuales son capaces de tomar capturas de pantalla y enviarlas al servidor de comando y control, además de simular acciones de teclado y capturar pulsaciones en el mismo, impidiendo el acceso a portales web, o descargar y ejecutar otros virus.
“Las capacidades de puerta trasera de este malware son típicas de los troyanos bancarios latinoamericanos. Puede tomar capturas de pantalla y enviarlas a su servidor C&C, simular acciones de mouse y teclado y capturar pulsaciones de teclas, descargar e instalar actualizaciones para sí mismo, restringir el acceso a varios sitios web y descargar y ejecutar otros ejecutables”.
Te podría interesar:
Una vez que Casbaneiro ha logrado infectar un dispositivo, la información que hackea es: la lista de antivirus instalados, versión del sistema operativo en la que se instaló, nombre del usuario y del dispositivo, y si el equipo cuenta con Diebold Varsovia GAS Tecnología (una aplicación para proteger el acceso a la banca en línea) y Trusteer.
Uno de los principales objetivos de este malware, es hacerse con la información relacionada con activos digitales como las criptobilleteras. De acuerdo con ESET, este virus puede monitorizar el contenido del portapapeles, con la finalidad de substituir las criptobilleteras que los dueños de los dispositivos hackeados han copiado con direcciones pertenecientes al atacante.
“Casbaneiro también puede intentar robar la criptomoneda de la víctima. Lo hace monitoreando el contenido del portapapeles y si los datos parecen ser una billetera de criptomonedas, los reemplaza con los del atacante. Esta técnica no es nueva; ha sido utilizado por otro malware en el pasado, incluso el infame troyano bancario BackSwap lo implementó en sus primeras etapas”.
ESET señaló en su reporte que sólo tenía registro de la billetera de un solo atacante al momento de realizar su publicación. Dicha billetera se encontraba codificada en código binario, además de contar en su interior con aproximadamente 1.2 Bitcoin (BTC), los cuales tienen un valor aproximado de 9 mil 812 dólares.
ESET también señaló que Casbaneiro echa mano de diversos algoritmos criptográficos, los cuales tienen la intención de resguardar un tipo diferente de datos.
La firma de seguridad informática también señaló que este malware se encuentra relacionado con otro conocido como Amavaldo, ya que ambos troyanos tienen la particularidad de utilizar el mismo algoritmo criptográfico, el cual es poco común.
“También hemos mostrado fuertes indicadores que nos llevan a creer que Casbaneiro está estrechamente relacionado con Amavaldo. Ambas piezas de malware utilizan el mismo algoritmo criptográfico poco común en el componente del inyector, han utilizado un script PowerShell muy similar en una de sus campañas y se les ha visto distribuir una herramienta de correo electrónico muy similar”.
Este no es el primer malware de este tipo, ya que el 26 de septiembre pasado, Juniper Networks, firma norteamericana de infraestructuras de Internet, señaló que descubrió un nuevo spyware llamado “Masad Clipper and Stealer”, el cual utiliza la aplicación Telegram para sustituir las criptodirecciones por las suyas propias.
