Malware bancario Casbaneiro actualizado con nuevas funciones sigilosas
El grupo responsable del malware bancario Casbaneiro ha desarrollado sus tácticas para evitar la detección y obtener un control administrativo completo sobre las máquinas infectadas. Este actor de amenazas motivado financieramente ha implementado una técnica de omisión del Control de cuentas de usuario (UAC), otorgándoles privilegios elevados en el sistema comprometido, lo que indica su adaptabilidad a las nuevas medidas de seguridad.
Aunque su enfoque principal sigue siendo apuntar a las instituciones financieras latinoamericanas, su enfoque modificado presenta un riesgo significativo para las organizaciones financieras multirregionales. La firma de seguridad cibernética Sygnia advirtió sobre estos cambios, enfatizando las implicaciones potenciales para una gama más amplia de instituciones.
Casbaneiro - Perro viejo, trucos nuevos
Casbaneiro, también conocido como Metamorfo y Ponteiro, ganó notoriedad inicialmente en 2018 a través de campañas masivas de spam por correo electrónico dirigidas a los sectores financieros de América Latina. El proceso de infección generalmente comienza con un correo electrónico de phishing que contiene un archivo adjunto malicioso. Cuando se abre, este archivo adjunto desencadena una secuencia de acciones que conducen al despliegue del malware bancario. Además, se emplean técnicas de living-off-the-land (LotL) para tomar huellas dactilares del host y recopilar metadatos del sistema.
Durante esta etapa, se descarga un binario llamado Horabot para propagar la infección internamente entre otros empleados dentro de la organización violada. Esto ayuda a los actores maliciosos a mantener la credibilidad en sus correos electrónicos de phishing y evadir la detección al evitar anomalías obvias en los encabezados de los correos electrónicos.
Las oleadas de ataques recientes han mostrado un cambio en el vector de ataque inicial. En lugar de usar adjuntos PDF maliciosos con enlaces de descarga a archivos ZIP, los atacantes ahora confían en correos electrónicos de phishing con enlaces a archivos HTML que redirigen al objetivo para descargar un archivo RAR.
Estas modificaciones en los métodos de los atacantes subrayan su determinación de adelantarse a las medidas de seguridad y continuar apuntando a las instituciones financieras de la región. Las organizaciones deben permanecer vigilantes y adaptar sus defensas para contrarrestar estas amenazas en evolución de manera efectiva.
