Casbaneiro Banking Malware bijgewerkt met nieuwe stealth-functies
De groep die verantwoordelijk is voor de Casbaneiro-bankmalware heeft zijn tactieken ontwikkeld om detectie te voorkomen en volledige administratieve controle over geïnfecteerde machines te krijgen. Deze financieel gemotiveerde bedreigingsactor heeft een User Account Control (UAC)-omleidingstechniek geïmplementeerd, waardoor ze verhoogde rechten op het gecompromitteerde systeem krijgen, wat aangeeft dat ze zich kunnen aanpassen aan nieuwe beveiligingsmaatregelen.
Hoewel hun primaire focus gericht blijft op Latijns-Amerikaanse financiële instellingen, vormt hun gewijzigde aanpak een aanzienlijk risico voor multiregionale financiële organisaties. Cyberbeveiligingsbedrijf Sygnia waarschuwde voor deze veranderingen en benadrukte de mogelijke implicaties voor een breder scala aan instellingen.
Casbaneiro - Oude hond, nieuwe trucs
Casbaneiro, ook bekend als Metamorfo en Ponteiro, verwierf aanvankelijk bekendheid in 2018 door massale e-mailspamcampagnes gericht op Latijns-Amerikaanse financiële sectoren. Het infectieproces begint meestal met een phishing-e-mail met een schadelijke bijlage. Wanneer deze bijlage wordt geopend, activeert deze een reeks acties die leiden tot de inzet van de bankmalware. Daarnaast worden living-off-the-land (LotL)-technieken gebruikt om vingerafdrukken van de host te nemen en systeemmetadata te verzamelen.
Tijdens deze fase wordt een binair bestand met de naam Horabot gedownload om de infectie intern te verspreiden onder andere werknemers binnen de geschonden organisatie. Dit helpt de kwaadwillende actoren om de geloofwaardigheid van hun phishing-e-mails te behouden en detectie te omzeilen door duidelijke afwijkingen in e-mailheaders te vermijden.
Recente aanvalsgolven hebben een verschuiving in de initiële aanvalsvector laten zien. In plaats van kwaadaardige pdf-bijlagen te gebruiken met downloadlinks naar ZIP-bestanden, vertrouwen de aanvallers nu op spear-phishing-e-mails met links naar HTML-bestanden die het doelwit omleiden om een RAR-bestand te downloaden.
Deze wijzigingen in de methoden van de aanvallers onderstrepen hun vastberadenheid om de veiligheidsmaatregelen voor te blijven en zich te blijven richten op financiële instellingen in de regio. Organisaties moeten waakzaam blijven en hun verdediging aanpassen om deze evoluerende bedreigingen effectief het hoofd te bieden.
