Банковское вредоносное ПО Casbaneiro обновлено с новыми функциями скрытности

Группа, ответственная за банковское вредоносное ПО Casbaneiro, усовершенствовала свою тактику, чтобы избежать обнаружения и получить полный административный контроль над зараженными машинами. Этот финансово мотивированный злоумышленник внедрил метод обхода контроля учетных записей (UAC), предоставив им повышенные привилегии в скомпрометированной системе, что указывает на их способность адаптироваться к новым мерам безопасности.

Хотя их основное внимание по-прежнему направлено на латиноамериканские финансовые учреждения, их измененный подход представляет значительный риск для межрегиональных финансовых организаций. Фирма по кибербезопасности Sygnia предупредила об этих изменениях, подчеркнув потенциальные последствия для более широкого круга учреждений.

Casbaneiro - Старый пес, новые трюки

Касбанейро, также известный как Метаморфо и Понтейро, первоначально получил известность в 2018 году благодаря массовым спам-кампаниям по электронной почте, нацеленным на финансовый сектор Латинской Америки. Процесс заражения обычно начинается с фишингового письма, содержащего вредоносное вложение. При открытии это вложение запускает последовательность действий, приводящих к развертыванию банковского вредоносного ПО. Кроме того, для снятия отпечатков пальцев хоста и сбора системных метаданных используются методы «жить вне земли» (LotL).

На этом этапе загружается двоичный файл под названием Horabot для внутреннего распространения инфекции среди других сотрудников организации, подвергшейся уязвимости. Это помогает злоумышленникам сохранять доверие к своим фишинговым электронным письмам и избегать обнаружения, избегая очевидных аномалий в заголовках электронных писем.

Недавние волны атак показали сдвиг в первоначальном векторе атаки. Вместо использования вредоносных вложений PDF со ссылками на скачивание ZIP-файлов злоумышленники теперь полагаются на фишинговые электронные письма со ссылками на HTML-файлы, которые перенаправляют цель на загрузку RAR-файла.

Эти изменения в методах злоумышленников подчеркивают их решимость опережать меры безопасности и продолжать атаковать финансовые учреждения в регионе. Организации должны сохранять бдительность и адаптировать свои средства защиты для эффективного противодействия этим меняющимся угрозам.