98 red seguridad segundo trimestre 2026 opinión tar scripts (VBScript o JScript) con los privilegios del usuario local, facilitando la descarga de código malicioso posteriormente. Ofuscación y relleno: el código útil dentro del HTA suele estar rodeado de miles de líneas de “relleno” o código basura (junk code). El objetivo es inflar el tamaño del archivo y confundir a los motores de detección basados en firmas y heurística simple. Carga de JavaScript remoto: la función real del HTA es actuar como un downloader, llamando a un dominio externo para cargar un archivo JavaScript que iniciará la ejecución de la amenaza en memoria o mediante la descarga de componentes legítimos vulnerables. “Living off the Land” Casbaneiro destaca por utilizar componentes legítimos para sus fines maliciosos. En las versiones analizadas, se ha detectado la presencia de librerías de Oracle Java SE o incluso ejecutables firmados de herramientas conocidas. Al utilizar binarios legítimos para cargar librerías maliciosas (técnica conocida como DLL Side-Loading), el malware logra pasar inadvertido ante soluciones antivirus tradicionales que confían en la firma digital de los procesos en ejecución. ¿Amenaza crítica? A pesar de ser una amenaza conocida desde hace años, Casbaneiro sigue siendo relevante por tres motivos principales: 1. Ingeniería social adaptativa: no solo usan notificaciones judiciales, ya que también se han detectado variantes que utilizan el envío de currículums para atacar departamentos de recursos humanos, diversificando sus objetivos dentro de las organizaciones. 2. Infraestructura dinámica: el uso de servicios en la nube legítimos para alojar sus payloads y el cambio constante de dominios de C2 (Mando y Control) complica el bloqueo por IP o dominio. 3. Persistencia en el sector bancario: el troyano está específicamente diseñado para interceptar comunicaciones con entidades bancarias españolas y de otros países donde opera, monitorizando el uso del navegador y superponiendo ventanas falsas para capturar el segundo factor de autenticación (2FA). Recomendaciones Para las organizaciones y ciudadanos, la defensa ante Casbaneiro requiere un enfoque multicapa: Educación y concienciación: es vital informar a los empleados de que las notificaciones judiciales nunca se notifican exclusivamente por correo electrónico con enlaces a descargas externas. Filtrado de correo avanzado: implementar soluciones capaces de realizar análisis de imágenes y códigos QR dentro de archivos adjuntos. Monitorización de procesos: configurar los sistemas de monitorización (EDR/XDR) para detectar comportamientos sospechosos de procesos legítimos (como java.exe o mshta. exe) realizando conexiones externas inusuales. Restricción de ejecución: siempre que sea posible, limitar la ejecución de scripts HTA y VBScript en los puestos de trabajo que no requieran estas herramientas por motivos de negocio. Conclusión La persistencia de Casbaneiro en España subraya la importancia de no bajar la guardia ante amenazas “clásicas”. La combinación de tácticas de ingeniería social depuradas con técnicas de evasión técnica avanzadas convierte a este troyano en un riesgo latente para la integridad financiera de las empresas y ciudadanos españoles. La colaboración entre laboratorios de seguridad y la difusión de estos indicadores de compromiso (IoC) son las herramientas más eficaces para frenar su expansión.
RkJQdWJsaXNoZXIy MTI4MzQz