Campaña de phishing dirigida a usuarios hispanohablantes propaga troyanos bancarios Casbaneiro y Horabot

Introducción

Durante el primer semestre de 2024, se ha detectado una sofisticada campaña de phishing dirigida específicamente a usuarios hispanohablantes de organizaciones en América Latina y Europa. Esta operación, atribuida al grupo de cibercrimen brasileño conocido como Augmented Marauder (también identificado como Water Saci), utiliza una cadena de ataque de múltiples fases para distribuir troyanos bancarios como Casbaneiro (también llamado Metamorfo), apoyándose en el malware Horabot como vector inicial de compromiso. La amenaza destaca por su capacidad de evasión, orientación regional y aprovechamiento de técnicas avanzadas de ingeniería social, suponiendo un desafío significativo para los equipos de ciberseguridad corporativa y de infraestructuras críticas.

Contexto del Incidente o Vulnerabilidad

El grupo Augmented Marauder fue documentado originalmente por Trend Micro en operaciones dirigidas a la banca online en Brasil. Su actividad se ha expandido de forma notable, alcanzando a entidades financieras, empresas y usuarios de habla hispana en países como España, México, Argentina, Chile, Colombia y Perú, así como a comunidades hispanohablantes en Europa. Esta campaña no solo refuerza la tendencia de profesionalización del cibercrimen en América Latina, sino que también pone de manifiesto la sofisticación y persistencia de los actores de amenazas regionales al emplear tácticas multivectoriales para maximizar el impacto en sectores críticos.

Detalles Técnicos: CVE, Vectores de Ataque y Tácticas

El vector de entrada principal es el correo electrónico de phishing, cuidadosamente redactado en español y adaptado al contexto local de cada víctima. Los emails suplantan a entidades bancarias, organismos gubernamentales o proveedores de servicios, e incluyen archivos adjuntos maliciosos (normalmente documentos PDF o archivos comprimidos) o enlaces a servidores comprometidos que alojan cargas útiles.

El malware Horabot, descubierto originalmente en 2019, es desplegado como primer eslabón de la cadena. Se distribuye como archivo ejecutable disfrazado y, una vez ejecutado, descarga y ejecuta el troyano bancario Casbaneiro. Este último está diseñado para interceptar credenciales bancarias, manipular sesiones online y realizar capturas de pantalla, además de incluir módulos para keylogging y exfiltración de información.

No se ha vinculado la campaña a vulnerabilidades de día cero específicas (no se han reportado CVE en esta oleada), pero sí se observan técnicas consistentes con MITRE ATT&CK, como:

– Spearphishing Attachment (T1566.001) y Spearphishing Link (T1566.002).
– Command and Control mediante HTTP/S (T1071.001).
– Credential Dumping (T1003).
– Input Capture (T1056).
– Exfiltration Over Web Service (T1567).

Los indicadores de compromiso (IoC) incluyen dominios de comando y control alojados en servicios cloud y exfiltración de datos cifrados a servidores en Brasil y Europa del Este. Frameworks como Metasploit se han detectado en acciones posteriores a la infección, especialmente para movimientos laterales y persistencia.

Impacto y Riesgos

El impacto potencial es elevado, con especial incidencia en banca online, operaciones financieras y robo de identidad corporativa. Se estima que más del 40% de los intentos exitosos han afectado a empresas medianas y grandes, con pérdidas económicas que, según fuentes de seguridad, superan los 8 millones de euros en los primeros meses de la campaña. El robo de credenciales y la manipulación de transacciones supone un riesgo crítico para la integridad financiera y la privacidad de los afectados, además de la posible exposición a sanciones regulatorias por incumplimiento de GDPR o NIS2 en el caso de entidades europeas.

Medidas de Mitigación y Recomendaciones

Para mitigar estos ataques, se recomienda:

– Implementar filtros avanzados de correo electrónico capaces de detectar phishing multilingüe y analizar adjuntos y enlaces en tiempo real.
– Mantener actualizados los sistemas operativos y soluciones antimalware, incluyendo la monitorización de procesos sospechosos y listas negras de IoC asociados.
– Formación continua para empleados sobre técnicas de ingeniería social y campañas de phishing dirigidas.
– Segmentar redes y limitar privilegios de usuarios para reducir el movimiento lateral en caso de compromiso.
– Monitorizar logs y tráfico de red en busca de patrones anómalos asociados a Casbaneiro y Horabot.
– Aplicar autenticación multifactor (MFA) en accesos críticos.

Opinión de Expertos

Analistas de Trend Micro y Kaspersky destacan la evolución del grupo Augmented Marauder en el uso de “malware as a service” y la personalización de campañas para el entorno hispanohablante. Expertos advierten que la colaboración entre grupos criminales de Brasil y Europa del Este está incrementando la efectividad y el alcance de las amenazas, especialmente mediante infraestructuras cloud y herramientas de automatización.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar y reforzar sus estrategias de defensa en profundidad, especialmente aquellas que operan en sectores financiero, legal y de servicios. El riesgo de sanciones bajo la legislación GDPR y NIS2 es real, dado el volumen y la sensibilidad de los datos comprometidos. Los usuarios particulares, por su parte, deben extremar la precaución ante correos sospechosos y nunca interactuar con enlaces o adjuntos no verificados.

Conclusiones

La campaña de phishing orquestada por Augmented Marauder representa una amenaza avanzada y persistente contra el ecosistema digital hispanohablante. Su combinación de ingeniería social, malware modular y técnicas de evasión requiere una respuesta proactiva tanto a nivel técnico como organizativo. La vigilancia, la formación y la actualización constante de las defensas son claves para reducir el impacto de estos ataques en un contexto de cibercrimen cada vez más profesionalizado y globalizado.

(Fuente: feeds.feedburner.com)