ESET ha detectado una nueva campaña de spam dirigida a usuarios en España que utiliza como gancho una supuesta notificación judicial urgente para distribuir malware.
Los correos electrónicos, que simulan ser comunicaciones oficiales, instan al destinatario a abrir un documento PDF adjunto. Este archivo muestra una falsa citación judicial con elementos visuales como el escudo de España, reforzando la credibilidad del mensaje. Además, incluye tanto un enlace como un código QR que redirigen a una web controlada por los atacantes.
El objetivo de esta campaña no es el fraude directo, sino la infección del sistema. Una vez que la víctima accede al enlace y descarga el archivo, se inicia una cadena de infección que comienza con un fichero HTA, diseñado para pasar desapercibido y ejecutar código malicioso de forma remota. Este proceso culmina con la instalación del troyano bancario Casbaneiro, una amenaza conocida por robar credenciales de banca online y otra información sensible. Casbaneiro es un troyano bancario de origen latinoamericano, especialmente activo en los últimos años, que ha evolucionado incorporando nuevas técnicas para evadir la detección.
Según Josep Albors, director de Investigación y Concienciación de ESET España y autor del análisis, los ciberdelincuentes implementan técnicas avanzadas para maximizar la efectividad de la campaña, como el uso de geo-fencing para limitar las descargas a usuarios ubicados en España, así como mecanismos para evitar el análisis automatizado. Asimismo, se han detectado variantes de esta campaña que utilizan otros pretextos, como el envío de currículums, pero con el mismo objetivo final.
En el cuerpo del mensaje no hay nada escrito que sirva para generar confianza en el mensaje por lo que los delincuentes confían plenamente en que el asunto del correo y el contenido del PDF adjunto sean suficientes para convencer a los usuarios que reciban estos emails. Respecto al contenido del PDF adjunto, esto es lo que nos encontramos al abrirlo:
En el documento PDF adjunto podemos observar cómo aparece la supuesta notificación judicial a la que se hacía referencia en el asunto del correo, con el escudo de España bien visible, lo que denota cierta personalización de la campaña y unos objetivos claros como son los ciudadanos españoles. Además, se proporcionan tanto un enlace incrustado en el botón “Consultar expediente” como un QR para acceder a la supuesta citación.
Una campaña muy similar atribuida al grupo Casbaneiro (aunque sin la presencia del código QR en el PDF) ha sido analizada recientemente por investigadores de Bluevoyant, los cuales han analizado a fondo el comportamiento de esta amenaza y proporcionan información técnica relevante acerca de las tácticas, técnicas y procedimientos usados por los delincuentes.
Además, en nuestros laboratorios hemos detectado también otra campaña del mismo grupo pero que, en lugar de usar como asunto una notificación judicial usa el envío de un currículum, incluyendo un enlace en el PDF para descargar una supuesta presentación.
Una de las características destacables de estas campañas son los esfuerzos puestos por parte de los ciberdelincuentes para asegurarse de que solo descargan las muestras los objetivos determinados. Así pues, además de usar geo-fencing para asegurarse de que el malware solo puede descargarse desde España, se incorporan medidas para dificultar el análisis automático como, por ejemplo, realizar una verificación para asegurarse que quien intenta acceder a la descarga no es un bot.
Una vez superado este trámite somos redirigidos a una web usada para alojar los ficheros que componen la primera fase de la cadena de infección. Observamos como se muestra que la descarga ha empezado y que el archivo está listo mientras este se descarga en el sistema del usuario. Cabe destacar el hecho de que esta web está pobremente diseñada y esto puede hacer sospechar a más de un usuario, pero los delincuentes confían en que, aun así, seguirán obteniendo las suficientes víctimas como para que la campaña les salga rentable.
Dentro del archivo comprimido tan solo encontramos un fichero HTA acompañada de una carpeta en cuyo interior se encuentra un componente legítimo de la plataforma Oracle Java SE. Este tipo de ficheros es usado con cierta frecuencia en las fases iniciales de la cadena de infección puesto que solamente suele contener código que redirecciona a la descarga del malware de segunda fase o el propio payload responsable de ejecutar la amenaza preparada por los atacantes.
Dentro del fichero HTA, encontramos unas pocas líneas de código útil, ya que casi todo el archivo es relleno para ocultar una única acción real, que es cargar JavaScript remoto desde un dominio externo. También encontramos una firma codificada en, que parece un identificador o marcador interno más que contenido funcional del HTML.
Lo especialmente relevante de este fichero es la URL desde la cual se carga un script preparado por los delincuentes, URL que se encuentra perfectamente visible en texto plano y que nos redirige a la siguiente web.
Con este script se desencadena la segunda fase del ataque, la cual consiste en la descarga y ejecución de un fichero VBS que termina instalando el troyano bancario Casbaneiro en el sistema de la víctima, listo para recopilar credenciales de banca online cuando el usuario acceda a alguna de las webs asociadas a alguno de los bancos que los delincuentes tienen entre su lista de objetivos.
Los troyanos bancarios con origen en Latinoamérica, y más concretamente en Brasil, llevan tiempo protagonizando campañas destacadas en ambos lados del océano. A lo largo de los últimos años hemos visto como han ido adaptando sus técnicas y mejorándolas, usando recientemente la técnica del ClickFix para engañar a sus víctimas potenciales.
A pesar de la adaptación y evolución constante de este tipo de amenazas, su detección sigue siendo sencilla si se cuenta con soluciones de seguridad modernas actualizadas, por lo que resulta indispensable contar con una de estas en nuestro sistema.
