Το Casbaneiro Banking Malware ενημερώθηκε με νέες δυνατότητες Stealth

Η ομάδα που είναι υπεύθυνη για το τραπεζικό κακόβουλο λογισμικό Casbaneiro έχει εξελίξει τις τακτικές της για να αποφύγει τον εντοπισμό και να αποκτήσει πλήρη διοικητικό έλεγχο σε μολυσμένα μηχανήματα. Αυτός ο παράγοντας απειλής με οικονομικά κίνητρα έχει εφαρμόσει μια τεχνική παράκαμψης ελέγχου λογαριασμού χρήστη (UAC), παρέχοντάς του αυξημένα προνόμια στο παραβιασμένο σύστημα, υποδεικνύοντας την προσαρμοστικότητά τους σε νέα μέτρα ασφαλείας.

Αν και η κύρια εστίασή τους παραμένει στη στόχευση χρηματοπιστωτικών ιδρυμάτων της Λατινικής Αμερικής, η τροποποιημένη προσέγγισή τους ενέχει σημαντικό κίνδυνο για τους πολυπεριφερειακούς χρηματοπιστωτικούς οργανισμούς. Η εταιρεία κυβερνοασφάλειας Sygnia προειδοποίησε για αυτές τις αλλαγές, τονίζοντας τις πιθανές επιπτώσεις για ένα ευρύτερο φάσμα ιδρυμάτων.

Casbaneiro - Old Dog, Νέα κόλπα

Το Casbaneiro, γνωστό και ως Metamorfo και Ponteiro, κέρδισε αρχικά τη φήμη το 2018 μέσω μαζικών εκστρατειών ανεπιθύμητης αλληλογραφίας που στόχευαν τους χρηματοπιστωτικούς τομείς της Λατινικής Αμερικής. Η διαδικασία μόλυνσης ξεκινά συνήθως με ένα email ηλεκτρονικού ψαρέματος που περιέχει ένα κακόβουλο συνημμένο. Όταν ανοιχτεί, αυτό το συνημμένο ενεργοποιεί μια σειρά ενεργειών που οδηγούν στην ανάπτυξη του τραπεζικού κακόβουλου λογισμικού. Επιπρόσθετα, χρησιμοποιούνται τεχνικές «living off-the-land» (LotL) για το δακτυλικό αποτύπωμα του κεντρικού υπολογιστή και τη συλλογή μεταδεδομένων του συστήματος.

Κατά τη διάρκεια αυτού του σταδίου, γίνεται λήψη ενός δυαδικού αρχείου που ονομάζεται Horabot για να διαδώσει τη μόλυνση εσωτερικά μεταξύ άλλων εργαζομένων στον οργανισμό που παραβιάστηκε. Αυτό βοηθά τους κακόβουλους παράγοντες να διατηρήσουν την αξιοπιστία στα μηνύματα ηλεκτρονικού "ψαρέματος" τους και να αποφύγουν τον εντοπισμό αποφεύγοντας προφανείς ανωμαλίες στις κεφαλίδες των email.

Πρόσφατα κύματα επίθεσης έχουν δείξει μια μετατόπιση στο διάνυσμα της αρχικής επίθεσης. Αντί να χρησιμοποιούν κακόβουλα συνημμένα PDF με συνδέσμους λήψης σε αρχεία ZIP, οι επιτιθέμενοι βασίζονται πλέον σε μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) με συνδέσμους σε αρχεία HTML που ανακατευθύνουν τον στόχο για λήψη ενός αρχείου RAR.

Αυτές οι τροποποιήσεις στις μεθόδους των επιτιθέμενων υπογραμμίζουν την αποφασιστικότητά τους να παραμείνουν μπροστά από τα μέτρα ασφαλείας και να συνεχίσουν να στοχεύουν χρηματοπιστωτικά ιδρύματα στην περιοχή. Οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και να προσαρμόσουν τις άμυνές τους για να αντιμετωπίσουν αποτελεσματικά αυτές τις εξελισσόμενες απειλές.