Malware bancário Casbaneiro atualizado com novos recursos furtivos
O grupo responsável pelo malware bancário Casbaneiro desenvolveu suas táticas para evitar a detecção e obter controle administrativo completo sobre as máquinas infectadas. Esse agente de ameaça com motivação financeira implementou uma técnica de desvio do Controle de Conta de Usuário (UAC), concedendo a eles privilégios elevados no sistema comprometido, indicando sua capacidade de adaptação a novas medidas de segurança.
Embora seu foco principal permaneça voltado para instituições financeiras latino-americanas, sua abordagem alterada representa um risco significativo para organizações financeiras multirregionais. A empresa de segurança cibernética Sygnia alertou sobre essas mudanças, enfatizando as possíveis implicações para uma gama mais ampla de instituições.
Casbaneiro - Cachorro Velho, Truques Novos
Casbaneiro, também conhecido como Metamorfo e Ponteiro, ganhou notoriedade inicialmente em 2018 por meio de campanhas de spam em massa por e-mail direcionadas aos setores financeiros da América Latina. O processo de infecção geralmente começa com um e-mail de phishing contendo um anexo malicioso. Quando aberto, esse anexo aciona uma sequência de ações que leva à implantação do malware bancário. Além disso, técnicas de viver fora da terra (LotL) são empregadas para identificar o host e coletar metadados do sistema.
Durante esse estágio, um binário chamado Horabot é baixado para propagar a infecção internamente entre outros funcionários da organização violada. Isso ajuda os agentes mal-intencionados a manter a credibilidade em seus e-mails de phishing e evitar a detecção, evitando anomalias óbvias nos cabeçalhos dos e-mails.
Ondas de ataque recentes mostraram uma mudança no vetor de ataque inicial. Em vez de usar anexos PDF maliciosos com links de download para arquivos ZIP, os invasores agora contam com e-mails de spear phishing com links para arquivos HTML que redirecionam o alvo para baixar um arquivo RAR.
Essas modificações nos métodos dos invasores reforçam sua determinação de ficar à frente das medidas de segurança e continuar atacando as instituições financeiras da região. As organizações devem permanecer vigilantes e adaptar suas defesas para combater essas ameaças em evolução de forma eficaz.
