O Laboratório de Pesquisa da ESET anuncia a descoberta de um novo trojan bancário que afeta vários países da América Latina, principalmente o México e o Brasil. O malware, que foi chamado Casbaneiro, tem funcionalidades semelhantes com a família Amavaldo , pois ambos usam o mesmo algoritmo criptográfico e são distribuídos com ferramentas similares. 

A família Casbaneiro aproveita da engenharia social para enganar as vítimas por meio de pop-ups e formulários falsos. O vetor de ataque inicial é o email, o mesmo método usado pelo Amavaldo. Com esses ataques, os cibercriminosos convidam a vítima a executar determinadas ações, como instalar uma atualização de software ou verificar detalhes de um cartão ou banco. 

Depois de instalado no dispositivo da vítima, o Casbaneiro usa comandos de backdoor (trojan que permite o acesso ao sistema infectado e seu controle remoto) para capturar imagens, restringir o acesso a sites oficiais de entidades bancárias, e registrar as opções digitadas no teclado. Além disso, é usado também para roubar criptomoedas da vítima. Se esses dados forem encontrados, o malware substituirá as informações pelos dados dos cibercriminosos. 

Casbaneiro coleta as seguintes informações de suas vítimas: 

•Lista de produtos antivírus instalados 

•Versão do sistema operacional (SO) 

•Nome do usuário 

•Nome do computador 

Se algum dos seguintes softwares estiver instalado: 

•Diebold Warsaw GAS Tecnologia (um aplicativo para proteger o acesso ao banco on-line) 

•Administrador 

•Vários aplicativos bancários latino-americanos 

A ESET identificou que Casbaneiro começou a utilizar do YouTube para armazenar seus domínios de servidor C&C, registrando duas contas diferentes usadas com essa finalidade pelos operadores de ameaças: uma focada em receitas culinárias e a outra no futebol. Cada vídeo nesses canais contém uma descrição em que, no final, há um link para um URL falso do Facebook ou Instagram. O domínio do servidor C&C está armazenado neste link. 

 “O Casbaneiro é um novo Trojan bancário da América Latina que compartilha as características comuns desse tipo de malware, como o uso de pop-ups falsos e funcionalidade de backdoor. Na maioria das campanhas, vem disfarçado como uma aplicação legítima e é direcionado principalmente para o Brasil e o México. Existem fortes indicadores que nos levam a acreditar que Casbaneiro está relacionado ao Amavaldo, pois eles usam o mesmo algoritmo criptográfico incomum e foram vistos distribuindo uma ferramenta de e-mail muito semelhante”, diz Camilo Gutierrez, Chefe do Laboratório de Pesquisa da ESET América Latina. "Esses tipos de ataques estão se tornando cada vez mais comuns, visando informações confidenciais. A conscientização e a proteção adequadas são as principais formas de proteção para esses ataques".