Casbaneiro Banking-Malware mit neuen Stealth-Funktionen aktualisiert

Die Gruppe, die für die Casbaneiro-Banking-Malware verantwortlich ist, hat ihre Taktik weiterentwickelt, um einer Entdeckung zu entgehen und die vollständige administrative Kontrolle über infizierte Computer zu erlangen. Dieser finanziell motivierte Bedrohungsakteur hat eine Technik zur Umgehung der Benutzerkontensteuerung (UAC) implementiert, die ihm erhöhte Privilegien auf dem kompromittierten System gewährt, was zeigt, dass er sich an neue Sicherheitsmaßnahmen anpassen kann.

Obwohl ihr Hauptaugenmerk weiterhin auf lateinamerikanischen Finanzinstituten liegt, stellt ihr veränderter Ansatz ein erhebliches Risiko für multiregionale Finanzorganisationen dar. Das Cybersicherheitsunternehmen Sygnia warnte vor diesen Änderungen und betonte die möglichen Auswirkungen auf ein breiteres Spektrum von Institutionen.

Casbaneiro – Alter Hund, neue Tricks

Casbaneiro, auch bekannt als Metamorfo und Ponteiro, erlangte 2018 erstmals Bekanntheit durch Massen-E-Mail-Spam-Kampagnen, die auf den lateinamerikanischen Finanzsektor abzielten. Der Infektionsprozess beginnt normalerweise mit einer Phishing-E-Mail, die einen schädlichen Anhang enthält. Wenn dieser Anhang geöffnet wird, löst er eine Reihe von Aktionen aus, die zur Verbreitung der Banking-Malware führen. Darüber hinaus werden LotL-Techniken (Living-off-the-Land) eingesetzt, um einen Fingerabdruck des Hosts zu erstellen und Systemmetadaten zu sammeln.

In dieser Phase wird eine Binärdatei namens Horabot heruntergeladen, um die Infektion intern unter anderen Mitarbeitern innerhalb der angegriffenen Organisation zu verbreiten. Dies hilft den böswilligen Akteuren, die Glaubwürdigkeit ihrer Phishing-E-Mails aufrechtzuerhalten und einer Entdeckung zu entgehen, indem offensichtliche Anomalien in den E-Mail-Headern vermieden werden.

Die jüngsten Angriffswellen haben eine Verschiebung des anfänglichen Angriffsvektors gezeigt. Anstatt bösartige PDF-Anhänge mit Download-Links zu ZIP-Dateien zu verwenden, verlassen sich die Angreifer nun auf Spear-Phishing-E-Mails mit Links zu HTML-Dateien, die das Ziel zum Herunterladen einer RAR-Datei umleiten.

Diese Änderungen in den Methoden der Angreifer unterstreichen ihre Entschlossenheit, den Sicherheitsmaßnahmen immer einen Schritt voraus zu sein und weiterhin Finanzinstitute in der Region ins Visier zu nehmen. Unternehmen müssen wachsam bleiben und ihre Abwehrmaßnahmen anpassen, um diesen sich entwickelnden Bedrohungen wirksam entgegenzuwirken.