Casbaneiro Banking Malware uppdaterad med nya Stealth-funktioner
Gruppen som är ansvarig för Casbaneiros bankprogram har utvecklat sin taktik för att undvika upptäckt och få fullständig administrativ kontroll över infekterade maskiner. Denna ekonomiskt motiverade hotaktör har implementerat en förbikopplingsteknik för användarkontokontroll (UAC), som ger dem förhöjda privilegier på det komprometterade systemet, vilket indikerar deras anpassningsförmåga till nya säkerhetsåtgärder.
Även om deras primära fokus fortfarande ligger på att rikta in sig på latinamerikanska finansiella institutioner, utgör deras förändrade tillvägagångssätt en betydande risk för multiregionala finansiella organisationer. Cybersäkerhetsföretaget Sygnia varnade för dessa förändringar och betonade de potentiella konsekvenserna för ett bredare utbud av institutioner.
Casbaneiro - Gammal hund, nya knep
Casbaneiro, även känd som Metamorfo och Ponteiro, blev ursprungligen känd 2018 genom masskampanjer med e-postspam riktade mot latinamerikanska finanssektorer. Infekteringsprocessen börjar vanligtvis med ett nätfiskemeddelande som innehåller en skadlig bilaga. När den öppnas utlöser den här bilagan en sekvens av åtgärder som leder till utplaceringen av bankskadlig programvara. Dessutom används living-off-the-land (LotL)-tekniker för att fingeravtrycka värden och samla in systemmetadata.
Under detta skede laddas en binär som kallas Horabot ned för att sprida infektionen internt bland andra anställda inom den överträdda organisationen. Detta hjälper de illvilliga aktörerna att behålla trovärdigheten i sina nätfiske-e-postmeddelanden och undvika upptäckt genom att undvika uppenbara anomalier i e-postrubriker.
De senaste attackvågorna har visat en förändring i den initiala attackvektorn. Istället för att använda skadliga PDF-bilagor med nedladdningslänkar till ZIP-filer, förlitar sig angriparna nu på spjutfiske-e-postmeddelanden med länkar till HTML-filer som omdirigerar målet till att ladda ner en RAR-fil.
Dessa ändringar av angriparnas metoder understryker deras beslutsamhet att ligga steget före säkerhetsåtgärderna och fortsätta rikta in sig på finansinstitutioner i regionen. Organisationer måste förbli vaksamma och anpassa sina försvar för att effektivt motverka dessa föränderliga hot.
