Detectada una campaña de spam que propaga el troyano Casbaneiro en España
- Seguridad
La campaña utiliza supuestas citaciones judiciales para distribuir el malware. Los correos incluyen un PDF con el escudo de España y enlaces que conducen a una cadena de infección cuidadosamente diseñada. La operación incorpora técnicas avanzadas como geo-fencing y mecanismos anti-análisis.
ESET ha detectado una nueva campaña de spam dirigida a usuarios en España que utiliza falsas citaciones judiciales para distribuir el troyano bancario Casbaneiro.
Los correos electrónicos, que simulan ser comunicaciones oficiales, instan al destinatario a abrir un documento PDF adjunto. Ese archivo muestra una falsa citación judicial con el escudo de España y ofrece tanto un enlace como un código QR que redirigen a una web controlada por los atacantes.
El objetivo no es el fraude directo, sino comprometer el sistema del usuario. Al acceder al enlace, comienza una cadena de infección que arranca con un fichero HTA, un formato habitual en fases iniciales por su capacidad para ejecutar código remoto sin levantar sospechas. Este archivo contiene apenas unas líneas útiles, ocultas entre relleno, cuya función es cargar JavaScript desde un dominio externo. A partir de ahí, se descarga un fichero VBS que instala Casbaneiro en el dispositivo.
Un troyano bancario en constante evolución
Casbaneiro es un malware de origen latinoamericano, especialmente activo en los últimos años. Está diseñado para robar credenciales de banca online y otra información sensible. ESET recuerda que este troyano ha ido incorporando nuevas técnicas para evadir la detección, y que su actividad se ha intensificado tanto en España como en otros países donde operan grupos vinculados a este tipo de amenazas.
Los atacantes han incorporado medidas avanzadas para asegurarse de que solo las víctimas objetivo descargan el malware. El análisis señala que emplean geo-fencing para restringir las descargas a usuarios ubicados en España, además de verificaciones para evitar que bots o sistemas automáticos accedan a los archivos. Estas técnicas buscan maximizar la efectividad de la campaña y dificultar el trabajo de los analistas.
ESET también ha identificado campañas similares del mismo grupo que utilizan otros ganchos, como el envío de un supuesto currículum. Aunque cambia el pretexto, el objetivo es llevar al usuario a descargar un archivo que inicia la cadena de infección. Investigadores de BlueVoyant ya habían analizado campañas previas atribuidas a Casbaneiro, lo que confirma la persistencia y adaptación del grupo.
A pesar de la sofisticación de estas campañas, ESET subraya que su detección es sencilla si el usuario dispone de soluciones de seguridad modernas y actualizadas. La compañía recuerda que los troyanos bancarios latinoamericanos llevan años protagonizando campañas destacadas y que la prevención sigue siendo la mejor defensa.
