Casbaneiro Banking Malware mis à jour avec de nouvelles fonctionnalités furtives

Le groupe responsable du malware bancaire Casbaneiro a fait évoluer ses tactiques pour éviter la détection et obtenir un contrôle administratif complet sur les machines infectées. Cet acteur malveillant à motivation financière a mis en place une technique de contournement du contrôle de compte d'utilisateur (UAC), leur accordant des privilèges élevés sur le système compromis, indiquant leur adaptabilité aux nouvelles mesures de sécurité.

Bien que leur objectif principal reste de cibler les institutions financières latino-américaines, leur approche modifiée pose un risque important pour les organisations financières multirégionales. La société de cybersécurité Sygnia a mis en garde contre ces changements, soulignant les implications potentielles pour un plus large éventail d'institutions.

Casbaneiro - Vieux chien, nouveaux tours

Casbaneiro, également connu sous le nom de Metamorfo et Ponteiro, a d'abord gagné en notoriété en 2018 grâce à des campagnes massives de spam par e-mail ciblant les secteurs financiers d'Amérique latine. Le processus d'infection commence généralement par un e-mail de phishing contenant une pièce jointe malveillante. Une fois ouverte, cette pièce jointe déclenche une séquence d'actions conduisant au déploiement du malware bancaire. De plus, des techniques de vie hors de la terre (LotL) sont utilisées pour identifier l'hôte et collecter les métadonnées du système.

Au cours de cette étape, un binaire appelé Horabot est téléchargé pour propager l'infection en interne parmi les autres employés de l'organisation piratée. Cela aide les acteurs malveillants à maintenir la crédibilité de leurs e-mails de phishing et à échapper à la détection en évitant les anomalies évidentes dans les en-têtes des e-mails.

Les vagues d'attaques récentes ont montré un changement dans le vecteur d'attaque initial. Au lieu d'utiliser des pièces jointes PDF malveillantes avec des liens de téléchargement vers des fichiers ZIP, les attaquants s'appuient désormais sur des e-mails de harponnage avec des liens vers des fichiers HTML qui redirigent la cible pour télécharger un fichier RAR.

Ces modifications des méthodes des attaquants soulignent leur détermination à garder une longueur d'avance sur les mesures de sécurité et à continuer de cibler les institutions financières de la région. Les organisations doivent rester vigilantes et adapter leurs défenses pour contrer efficacement ces menaces évolutives.