Casbaneiro, también conocido como Metamorfo, es un troyano bancario latinoamericano que apunta a bancos y servicios de criptomonedas en Brasil y México. Su metodología está basada en la ingeniería social y consiste en desplegar ventanas emergentes falsas dentro de redes sociales y correo electrónico con el fin de que los usuarios ingresen a un enlace que los infecta y que le da entrada a los ciberdelincuentes a información confidencial.
El malware funciona de forma similar a otros troyanos que han identificado las firmas de ciberseguridad, sin embargo, una de las cosas que llamó la atención de los analistas fue que Casbaneiro dejaba las claves de comando y control en dos canales de YouTube, lo que hacía más complicada la localización de estas claves, pues los hackers colocan las claves en la descripción de los videos.
Cuando el malware logra entrar a los equipos de los usuarios es capaz de tomar capturas de pantalla, simular acciones de mouse y teclado, capturar la pulsación de las teclas, descargar e instalar actualizaciones y restringir el acceso a varios sitios web. Además de ingresar a datos de la computadora y saber qué productos de antivirus tiene el usuario, así como el sistema operativo que corre en el equipo.
“Hemos identificado dos cuentas diferentes utilizadas para este fin por parte de los operadores de la amenaza: una centrada en recetas de cocina y la otra en fútbol, sin embargo, no es el único sitio donde los delincuentes dejan sus claves de comando”, describe Lukas Stefanko, analista de malware dentro de ESET.
Aunque no tiene el total de cuentas que han sido vulneradas en México y Brasil, los analistas de ESET afirman que los esfuerzos de la ciberdelincuencia se centran en robar contraseñas de aplicaciones bancarias y carteras digitales, principalmente de la criptomoneda bitcoin.
“A diferencia de lo que sucede con otros malwares, el caso de Casbaneiro no sólo se centra en atacar equipos fijos, sino que ha logrado entrar a sitios legítimos de aplicaciones donde al momento de hacer una descarga se cuela dentro del lenguaje cifrado y compromete los equipos móviles de los usuarios”, afirma Stefanko.
Aunque el troyano también ha tenido actividad en Estados Unidos, Argentina y Perú, se ha centrado en México y Brasil para atacar. A pesar que su temporada de ataque fue a inicios de 2019, el malware sigue en activo, por lo que se ha alertado a instituciones y firmas de seguridad sobre éste.
Cualquier información adicional que requiera con gusto podemos ayudarle.