卡巴内罗银行恶意软件更新了新的隐形功能

负责卡巴内罗银行恶意软件的组织已经发展了其策略，以避免被发现并获得对受感染机器的完全管理控制。这个出于经济动机的威胁行为者实施了用户帐户控制 (UAC) 绕过技术，授予他们对受感染系统的更高权限，表明他们对新安全措施的适应性。

尽管他们的主要重点仍然是针对拉丁美洲金融机构，但他们改变的方法对多区域金融组织构成了重大风险。网络安全公司 Sygnia 对这些变化发出警告，强调对更广泛机构的潜在影响。

卡巴内罗 - 老狗，新花样

Casbaneiro（也称为 Metamorfo 和 Ponteiro）最初于 2018 年通过针对拉丁美洲金融行业的大规模垃圾邮件活动而声名狼藉。感染过程通常从包含恶意附件的网络钓鱼电子邮件开始。打开后，此附件会触发一系列操作，从而导致部署银行恶意软件。此外，还采用了离地 (LotL) 技术来对主机进行指纹识别并收集系统元数据。

在此阶段，会下载一个名为 Horabot 的二进制文件，以在受攻击组织内的其他员工之间内部传播感染。这有助于恶意行为者保持网络钓鱼电子邮件的可信度，并通过避免电子邮件标头中的明显异常来逃避检测。

最近的攻击波显示初始攻击向量发生了变化。攻击者现在不再使用带有 ZIP 文件下载链接的恶意 PDF 附件，而是依靠带有 HTML 文件链接的鱼叉式网络钓鱼电子邮件，这些 HTML 文件会重定向目标以下载 RAR 文件。

攻击者方法的这些修改凸显了他们领先于安全措施并继续针对该地区金融机构的决心。组织必须保持警惕并调整防御措施，以有效应对这些不断变化的威胁。