Złośliwe oprogramowanie bankowe Casbaneiro zaktualizowane o nowe funkcje Stealth
Grupa odpowiedzialna za szkodliwe oprogramowanie bankowe Casbaneiro rozwinęła swoją taktykę, aby uniknąć wykrycia i uzyskać pełną kontrolę administracyjną nad zainfekowanymi maszynami. Ten motywowany finansowo ugrupowanie cyberprzestępcze wdrożył technikę obejścia kontroli konta użytkownika (UAC), przyznając im podwyższone uprawnienia w zaatakowanym systemie, co wskazuje na ich zdolność przystosowania się do nowych środków bezpieczeństwa.
Chociaż ich głównym celem jest atakowanie instytucji finansowych z Ameryki Łacińskiej, ich zmienione podejście stanowi poważne ryzyko dla wieloregionalnych organizacji finansowych. Sygnia, firma zajmująca się cyberbezpieczeństwem, ostrzegała przed tymi zmianami, podkreślając potencjalne implikacje dla szerszego grona instytucji.
Casbaneiro - Stary pies, nowe sztuczki
Casbaneiro, znany również jako Metamorfo i Ponteiro, początkowo zyskał rozgłos w 2018 roku dzięki masowym e-mailowym kampaniom spamowym wymierzonym w sektory finansowe Ameryki Łacińskiej. Proces infekcji zwykle rozpoczyna się od wiadomości e-mail zawierającej złośliwy załącznik. Otwarcie tego załącznika uruchamia sekwencję działań prowadzących do rozmieszczenia szkodliwego oprogramowania bankowego. Ponadto do pobierania odcisków palców hosta i gromadzenia metadanych systemowych stosowane są techniki „living-off-the-land” (LotL).
Na tym etapie pobierany jest plik binarny o nazwie Horabot w celu wewnętrznego rozprzestrzenienia infekcji wśród innych pracowników w zaatakowanej organizacji. Pomaga to złośliwym aktorom zachować wiarygodność w wiadomościach phishingowych i uniknąć wykrycia, unikając oczywistych anomalii w nagłówkach wiadomości e-mail.
Ostatnie fale ataków wykazały przesunięcie początkowego wektora ataku. Zamiast wykorzystywać złośliwe załączniki PDF z linkami do pobierania plików ZIP, atakujący polegają teraz na e-mailach typu spear phishing z linkami do plików HTML, które przekierowują cel do pobrania pliku RAR.
Te modyfikacje metod atakujących podkreślają ich determinację, by wyprzedzać środki bezpieczeństwa i nadal atakować instytucje finansowe w regionie. Organizacje muszą zachować czujność i dostosować swoją obronę, aby skutecznie przeciwdziałać tym ewoluującym zagrożeniom.
