Casbaneiro バンキング マルウェアが新しいステルス機能で更新されました

Casbaneiro バンキング マルウェアの原因となっているグループは、検出を回避し、感染したマシンを完全に管理制御するために戦術を進化させました。この金銭目的の攻撃者は、ユーザー アカウント制御 (UAC) バイパス手法を実装し、侵害されたシステム上で上位の権限を付与し、新しいセキュリティ対策への適応性を示しています。

彼らの主な焦点は依然としてラテンアメリカの金融機関をターゲットにすることにありますが、彼らの変更されたアプローチは複数地域の金融機関に重大なリスクをもたらします。サイバーセキュリティ企業のシグニアは、これらの変化について警告し、より広範囲の機関への潜在的な影響を強調した。

カスバネイロ - 老犬、新しいトリック

Metamorfo や Ponteiro としても知られる Casbaneiro は、2018 年にラテンアメリカの金融セクターをターゲットにした大量の電子メール スパム キャンペーンによって最初に悪名を博しました。通常、感染プロセスは、悪意のある添付ファイルを含むフィッシングメールから始まります。この添付ファイルを開くと、バンキング マルウェアの展開につながる一連のアクションがトリガーされます。さらに、Living-off-the-land (LotL) 技術を使用して、ホストのフィンガープリントを実行し、システム メタデータを収集します。

この段階では、Horabot と呼ばれるバイナリがダウンロードされ、侵害された組織内の他の従業員の間で感染が内部的に伝播されます。これにより、悪意のある攻撃者はフィッシング メールの信頼性を維持し、メール ヘッダーの明らかな異常を回避して検出を回避できます。

最近の攻撃波では、最初の攻撃ベクトルに変化が見られます。攻撃者は、ZIP ファイルへのダウンロード リンクを含む悪意のある PDF 添付ファイルを使用する代わりに、ターゲットを RAR ファイルをダウンロードするようにリダイレクトする HTML ファイルへのリンクを含むスピア フィッシング電子メールを利用します。

攻撃者の手法におけるこれらの変更は、セキュリティ対策の先を行き、地域の金融機関を引き続き標的とするという彼らの決意を裏付けています。組織は常に警戒を怠らず、進化する脅威に効果的に対抗するために防御を適応させる必要があります。