Casbaneiro Banking Malware opdateret med nye stealth-funktioner

Gruppen, der er ansvarlig for Casbaneiro-bankmalwaren, har udviklet sin taktik for at undgå opdagelse og få fuldstændig administrativ kontrol over inficerede maskiner. Denne økonomisk motiverede trusselsaktør har implementeret en brugerkontokontrol (UAC) bypass-teknik, der giver dem forhøjede rettigheder på det kompromitterede system, hvilket indikerer deres tilpasningsevne til nye sikkerhedsforanstaltninger.

Selvom deres primære fokus fortsat er på at målrette mod latinamerikanske finansielle institutioner, udgør deres ændrede tilgang en betydelig risiko for multi-regionale finansielle organisationer. Cybersikkerhedsfirmaet Sygnia advarede om disse ændringer og understregede de potentielle implikationer for en bredere vifte af institutioner.

Casbaneiro - Gammel hund, nye tricks

Casbaneiro, også kendt som Metamorfo og Ponteiro, blev oprindeligt kendt i 2018 gennem massemail-spamkampagner rettet mod latinamerikanske finanssektorer. Inficeringsprocessen starter typisk med en phishing-e-mail, der indeholder en ondsindet vedhæftet fil. Når den åbnes, udløser denne vedhæftede fil en række handlinger, der fører til implementeringen af bank-malwaren. Derudover bruges living-off-the-land (LotL) teknikker til at fingeraftrykke værten og indsamle systemmetadata.

I løbet af denne fase downloades en binær kaldet Horabot for at udbrede infektionen internt blandt andre medarbejdere i den brudte organisation. Dette hjælper de ondsindede aktører med at bevare troværdigheden i deres phishing-e-mails og undgå registrering ved at undgå åbenlyse anomalier i e-mail-headere.

De seneste angrebsbølger har vist et skift i den indledende angrebsvektor. I stedet for at bruge ondsindede PDF-vedhæftede filer med downloadlinks til ZIP-filer, stoler angriberne nu på spear-phishing-e-mails med links til HTML-filer, der omdirigerer målet til at downloade en RAR-fil.

Disse ændringer i angribernes metoder understreger deres vilje til at være på forkant med sikkerhedsforanstaltninger og fortsætte med at målrette finansielle institutioner i regionen. Organisationer skal forblive på vagt og tilpasse deres forsvar for effektivt at imødegå disse udviklende trusler.