{"id":7217,"date":"2019-12-10T23:19:20","date_gmt":"2019-12-11T03:19:20","guid":{"rendered":"http:\/\/www.notaoficial.com\/s\/?p=7217"},"modified":"2019-12-10T20:25:40","modified_gmt":"2019-12-11T00:25:40","slug":"eset-descubre-casbaneiro-un-nuevo-troyano-bancario-que-roba-criptomonedas","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2019\/12\/10\/eset-descubre-casbaneiro-un-nuevo-troyano-bancario-que-roba-criptomonedas\/","title":{"rendered":"Eset descubre casbaneiro, un nuevo troyano bancario que roba criptomonedas"},"content":{"rendered":"<p>El laboratorio de Investigaci\u00f3n de <a href=\"https:\/\/www.eset.com\/latam\/\">ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, anunci\u00f3 el descubrimiento de un nuevo troyano bancario que est\u00e1 afectando especialmente a diversos pa\u00edses de Latinoam\u00e9rica, principalmente a M\u00e9xico y Brasil. El mismo fue denominado Casbaneiro por el laboratorio de ESET, malware comparte funcionalidades con la familia <a href=\"https:\/\/www.welivesecurity.com\/la-es\/2019\/08\/01\/amavaldo-troyano-bancario-dirigido-brasil-mexico\/\">Amavaldo<\/a>, ya que ambos utilizan el mismo algoritmo criptogr\u00e1fico y se distribuyen con herramientas similares que buscan aprovecharse del correo electr\u00f3nico.<\/p>\n<p>La familia Casbaneiro se aprovecha de la ingenier\u00eda social para enga\u00f1ar a las v\u00edctimas mediante ventanas y formularios emergentes fraudulentos. El vector inicial de ataque es el correo electr\u00f3nico, el mismo m\u00e9todo que utilizaba Amavaldo. Con estos ataques, los ciberdelincuentes invitan a la v\u00edctima a realizar ciertas acciones de forma urgente, como instalar una actualizaci\u00f3n de software o verificar una tarjeta o datos bancarios.<\/p>\n<p>Una vez que se ha instalado en el dispositivo de la v\u00edctima, Casbaneiro utiliza comandos de backdoor (troyano que permite el acceso al sistema infectado y su control remoto permitiendo al atacante enviar, eliminar o modificar archivos, ejecutar programas, instalar herramientas maliciosas y extraer informaci\u00f3n de la v\u00edctima para envi\u00e1rsela a s\u00ed mismo, con el prop\u00f3sito de espiar y robar datos) para realizar capturas de pantalla, restringir el acceso a webs oficiales de entidades bancarias y registrar las pulsaciones en el teclado. Adem\u00e1s, se utiliza para robar criptomonedas analizando los contenidos del portapapeles para chequear si hay datos sobre la cartera de criptomonedas de la v\u00edctima. En caso de encontrar estos datos, el malware reemplaza la informaci\u00f3n por los datos de la cartera del ciberdelincuente.<\/p>\n<p>Casbaneiro recopila la siguiente informaci\u00f3n de sus v\u00edctimas:<\/p>\n<ul>\n<li>Lista de productos antivirus instalados<\/li>\n<li>Versi\u00f3n del Sistema Operativo (SO)<\/li>\n<li>Nombre de usuario<\/li>\n<li>Nombre de la computadora<\/li>\n<li>Si alguno de los siguientes software est\u00e1 instalado:\n<ul>\n<li>Diebold Warsaw GAS Tecnologia (una aplicaci\u00f3n para proteger el acceso a la banca en l\u00ednea)<\/li>\n<li>Trusteer<\/li>\n<li>Varias aplicaciones bancarias latinoamericanas<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>La familia de malware Casbaneiro se caracteriza por el uso de m\u00faltiples algoritmos criptogr\u00e1ficos utilizados para ocultar cadenas de c\u00f3digo en archivos ejecutables y para descifrar la carga maliciosa y datos de configuraci\u00f3n. Uno de los aspectos distintivos de Casbaneiro es su esfuerzo por esconder el dominio del servidor C&amp;C (Centro de Comando &amp; Control &#8211; Servidor administrado por un botmaster que permite controlar y administrar los equipos zombis infectados por un bot) y el puerto utilizado para conectarse.<\/p>\n<p>ESET identific\u00f3 que Casbaneiro comenz\u00f3 a abusar de YouTube para almacenar sus dominios de servidor C&amp;C, registrando dos cuentas diferentes utilizadas para este fin por parte de los operadores de la amenaza: una centrada en recetas de cocina y la otra en f\u00fatbol. Cada video en estos canales contiene una descripci\u00f3n donde al final hay un enlace a una URL falsa de Facebook o Instagram. El dominio del servidor C&amp;C se almacena en este enlace.<\/p>\n<p>\u201cCasbaneiro es un nuevo troyano bancario latinoamericano que comparte las caracter\u00edsticas comunes de este tipo de malware, como el uso de ventanas emergentes falsas y la funcionalidad de backdoor. Se disfraza como una aplicaci\u00f3n leg\u00edtima en la mayor\u00eda de las campa\u00f1as y se dirige principalmente a Brasil y M\u00e9xico. Hay fuertes indicadores que nos llevan a creer que Casbaneiro est\u00e1 estrechamente relacionado con Amavaldo ya que utilizan el mismo algoritmo criptogr\u00e1fico poco com\u00fan y se los ha visto distribuir una herramienta de correo electr\u00f3nico muy similar.\u201d, menciona Camilo Gutierrez, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica. \u201cEste tipo de ataques se est\u00e1 volviendo cada vez m\u00e1s com\u00fan apuntando a informaci\u00f3n sensible lo que permite provocar grandes da\u00f1os a sus v\u00edctimas, la concientizaci\u00f3n si protecci\u00f3n adecuadas son herramientas claves para estar protegidos\u201d.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El laboratorio de Investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, anunci\u00f3 el descubrimiento de un nuevo troyano bancario que est\u00e1 afectando especialmente a diversos pa\u00edses de Latinoam\u00e9rica, principalmente a M\u00e9xico y Brasil. El mismo fue denominado Casbaneiro por el laboratorio de ESET, malware comparte funcionalidades con la familia Amavaldo, ya que ambos [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":7226,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,986,2],"tags":[8231,988],"wppr_data":[],"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/7217"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=7217"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/7217\/revisions"}],"predecessor-version":[{"id":7227,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/7217\/revisions\/7227"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/7226"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=7217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=7217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=7217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}