Malware bancario Casbaneiro aggiornato con nuove funzionalità stealth
Il gruppo responsabile del malware bancario Casbaneiro ha sviluppato le sue tattiche per evitare il rilevamento e ottenere il controllo amministrativo completo sulle macchine infette. Questo attore di minacce motivato finanziariamente ha implementato una tecnica di bypass del controllo dell'account utente (UAC), concedendo loro privilegi elevati sul sistema compromesso, indicando la loro adattabilità alle nuove misure di sicurezza.
Sebbene il loro obiettivo principale rimanga quello di prendere di mira le istituzioni finanziarie latinoamericane, il loro approccio modificato rappresenta un rischio significativo per le organizzazioni finanziarie multiregionali. La società di sicurezza informatica Sygnia ha messo in guardia su questi cambiamenti, sottolineando le potenziali implicazioni per una gamma più ampia di istituzioni.
Casbaneiro - Vecchio cane, nuovi trucchi
Casbaneiro, noto anche come Metamorfo e Ponteiro, ha acquisito inizialmente notorietà nel 2018 attraverso campagne di spam via e-mail di massa rivolte ai settori finanziari latinoamericani. Il processo di infezione in genere inizia con un'e-mail di phishing contenente un allegato dannoso. Quando viene aperto, questo allegato attiva una sequenza di azioni che portano alla distribuzione del malware bancario. Inoltre, vengono impiegate tecniche di vita fuori terra (LotL) per rilevare le impronte digitali dell'host e raccogliere metadati di sistema.
Durante questa fase, viene scaricato un file binario chiamato Horabot per propagare l'infezione internamente tra gli altri dipendenti all'interno dell'organizzazione violata. Ciò aiuta gli attori malintenzionati a mantenere la credibilità nelle loro e-mail di phishing e ad eludere il rilevamento evitando evidenti anomalie nelle intestazioni delle e-mail.
Le recenti ondate di attacco hanno mostrato uno spostamento nel vettore di attacco iniziale. Invece di utilizzare allegati PDF dannosi con collegamenti per il download a file ZIP, gli aggressori ora si affidano a e-mail di spear phishing con collegamenti a file HTML che reindirizzano il bersaglio per scaricare un file RAR.
Queste modifiche nei metodi degli aggressori sottolineano la loro determinazione a stare al passo con le misure di sicurezza e continuare a prendere di mira le istituzioni finanziarie nella regione. Le organizzazioni devono rimanere vigili e adattare le proprie difese per contrastare efficacemente queste minacce in continua evoluzione.
