Una nueva campaña de spam vuelve a utilizar como asunto una supuesta notificación judicial aunque, a diferencia de la que analizamos recientemente, los ciberdelincuentes no pretenden estafarnos, si no comprometer la seguridad de nuestro sistema.

Recientemente hemos detectado en nuestro laboratorio un pico de actividad en lo que se refiere a cierto tipo de correos electrónicos que, haciéndose pasar por una comunicación oficial en el que se nos comunica de una notificación judicial urgente, urge al receptor del email a abrir el documento adjunto.

En el cuerpo del mensaje no hay nada escrito que sirva para generar confianza en el mensaje por lo que los delincuentes confían plenamente en que el asunto del correo y el contenido del PDF adjunto sean suficientes para convencer a los usuarios que reciban estos emails. Respecto al contenido del PDF adjunto, esto es lo que nos encontramos al abrirlo:

En el documento PDF adjunto podemos observar cómo aparece la supuesta notificación judicial a la que se hacía referencia en el asunto del correo, con el escudo de España bien visible, lo que denota cierta personalización de la campaña y unos objetivos claros como son los ciudadanos españoles. Además, se proporcionan tanto un enlace incrustado en el botón “Consultar expediente” como un QR para acceder a la supuesta citación.

Una campaña muy similar atribuida al grupo Casbaneiro (aunque sin la presencia del código QR en el PDF) ha sido analizada recientemente por investigadores de Bluevoyant, los cuales han analizado a fondo el comportamiento de esta amenaza y proporcionan información técnica relevante acerca de las tácticas, técnicas y procedimientos usados por los delincuentes.

Además, en nuestros laboratorios hemos detectado también otra campaña del mismo grupo pero que, en lugar de usar como asunto una notificación judicial usa el envío de un currículum, incluyendo un enlace en el PDF para descargar una supuesta presentación.

Una de las características destacables de estas campañas son los esfuerzos puestos por parte de los ciberdelincuentes para asegurarse de que solo descargan las muestras los objetivos determinados. Así pues, además de usar geo-fencing para asegurarse de que el malware solo puede descargarse desde España, se incorporan medidas para dificultar el análisis automático como, por ejemplo, realizar una verificación para asegurarse que quien intenta acceder a la descarga no es un bot.

Una vez superado este trámite somos redirigidos a una web usada para alojar los ficheros que componen la primera fase de la cadena de infección. Observamos como se muestra que la descarga ha empezado y que el archivo está listo mientras este se descarga en el sistema del usuario. Cabe destacar el hecho de que esta web está pobremente diseñada y esto puede hacer sospechar a más de un usuario, pero los delincuentes confían en que, aun así, seguirán obteniendo las suficientes víctimas como para que la campaña les salga rentable.

Dentro del archivo comprimido tan solo encontramos un fichero HTA acompañada de una carpeta en cuyo interior se encuentra un componente legítimo de la plataforma Oracle Java SE. Este tipo de ficheros es usado con cierta frecuencia en las fases iniciales de la cadena de infección puesto que solamente suele contener código que redirecciona a la descarga del malware de segunda fase o el propio payload responsable de ejecutar la amenaza preparada por los atacantes.

Dentro del fichero HTA, encontramos unas pocas líneas de código útil, ya que casi todo el archivo es relleno para ocultar una única acción real, que es cargar JavaScript remoto desde un dominio externo. También encontramos una firma codificada en, que parece un identificador o marcador interno más que contenido funcional del HTML.

Lo especialmente relevante de este fichero es la URL desde la cual se carga un script preparado por los delincuentes, URL que se encuentra perfectamente visible en texto plano y que nos redirige a la siguiente web.

Con este script se desencadena la segunda fase del ataque, la cual consiste en la descarga y ejecución de un fichero VBS que termina instalando el troyano bancario Casbaneiro en el sistema de la víctima, listo para recopilar credenciales de banca online cuando el usuario acceda a alguna de las webs asociadas a alguno de los bancos que los delincuentes tienen entre su lista de objetivos.

Los troyanos bancarios con origen en Latinoamérica, y más concretamente en Brasil, llevan tiempo protagonizando campañas destacadas en ambos lados del océano. A lo largo de los últimos años hemos visto como han ido adaptando sus técnicas y mejorándolas, usando recientemente la técnica del ClickFix para engañar a sus víctimas potenciales.

A pesar de la adaptación y evolución constante de este tipo de amenazas, su detección sigue siendo sencilla si se cuenta con soluciones de seguridad modernas actualizadas, por lo que resulta indispensable contar con una de estas en nuestro sistema.