El malware funciona de forma similar a otros troyanos que han identificado las firmas de ciberseguridad sin embargo una de las cosas que llamó la atención de los analistas fue que Casbaneiro dejaba las claves de comando y control en dos canales de YouTube, lo que hacía más complicada la localización de estas claves, pues los hackers colocan las claves en la descripción de los videos.
Cuando el malware logra entrar a los equipos de los usuarios es capaz de tomar capturas de pantalla, simular acciones de mouse y teclado, capturar la pulsación de las teclas, descargar e instalar actualizaciones y restringir el acceso a varios sitios web. Además de ingresar a datos de la computadora y saber qué productos de antivirus tiene el usuario así como el sistema operativo que corre en la computadora.
“Hemos identificado dos cuentas diferentes utilizadas para este fin por parte de los operadores de la amenaza: una centrada en recetas de cocina y la otra en fútbol, sin embargo no es el único sitio donde los delincuentes dejan sus claves de comando” describió Lukas Stefanko, analista de malware dentro de ESET.
Aunque no tiene el total de cuentas que han sido vulneradas en México y Brasil, los analistas de ESET afirman que los esfuerzos de la ciberdelincuencia se centran en robar contraseñas de aplicaciones bancarias y carteras digitales, principalmente de la criptomoneda bitcoin.