Casbaneiro Banking Malware oppdatert med nye stealth-funksjoner

Gruppen ansvarlig for Casbaneiro bank malware har utviklet taktikken sin for å unngå oppdagelse og få fullstendig administrativ kontroll over infiserte maskiner. Denne økonomisk motiverte trusselaktøren har implementert en bypass-teknikk for brukerkontokontroll (UAC), som gir dem forhøyede rettigheter på det kompromitterte systemet, noe som indikerer deres tilpasningsevne til nye sikkerhetstiltak.

Selv om deres primære fokus fortsatt er å målrette mot latinamerikanske finansinstitusjoner, utgjør deres endrede tilnærming en betydelig risiko for multi-regionale finansielle organisasjoner. Cybersikkerhetsfirmaet Sygnia advarte om disse endringene, og understreket de potensielle implikasjonene for et bredere spekter av institusjoner.

Casbaneiro - Gammel hund, nye triks

Casbaneiro, også kjent som Metamorfo og Ponteiro, ble først kjent i 2018 gjennom masse spamkampanjer rettet mot latinamerikanske finanssektorer. Infeksjonsprosessen starter vanligvis med en phishing-e-post som inneholder et ondsinnet vedlegg. Når det åpnes, utløser dette vedlegget en sekvens av handlinger som fører til distribusjon av bankskadelig programvare. I tillegg brukes living-off-the-land (LotL)-teknikker for å fingeravtrykke verten og samle inn systemmetadata.

I løpet av dette stadiet blir en binær kalt Horabot lastet ned for å spre infeksjonen internt blant andre ansatte i den overtrådte organisasjonen. Dette hjelper de ondsinnede aktørene å opprettholde troverdigheten i phishing-e-postene sine og unngå gjenkjenning ved å unngå åpenbare anomalier i e-postoverskrifter.

Nyere angrepsbølger har vist et skifte i den innledende angrepsvektoren. I stedet for å bruke ondsinnede PDF-vedlegg med nedlastingslenker til ZIP-filer, er angriperne nå avhengige av spear-phishing-e-poster med lenker til HTML-filer som omdirigerer målet til å laste ned en RAR-fil.

Disse endringene i angripernes metoder understreker deres vilje til å ligge i forkant av sikkerhetstiltak og fortsette å målrette finansinstitusjoner i regionen. Organisasjoner må være årvåkne og tilpasse forsvaret for å motvirke disse truslene i utvikling effektivt.