ESET, исследуя TTP (тактику, методы, процедуры) банковских троянов в Латинской Америке, обнаружил семейство вредоносных программ Casbaneiro.
В рамках исследования, которое привело к открытию семейства Amavaldo, команда ESET также обнаружила, что Casbaneiro имеет схожую функциональность - оба семейства вредоносных программ используют один и тот же криптографический алгоритм и распространяют аналогичный инструмент электронной почты.
Семья Casbaneiro также использует социальную инженерию для обмана жертв, копируя тактику Amavaldo с использованием поддельных всплывающих окон и шаблонов. Эти атаки обычно направлены на то, чтобы убедить жертву предпринять срочные или необходимые действия, такие как установка обновления программного обеспечения или проверка информации о кредитных или банковских счетах.
Захваченный устройством жертвы, Casbaneiro использует команды бэкдора, чтобы делать скриншоты, ограничивать доступ к различным банковским сайтам и записывать нажатия клавиш.
Кроме того, Casbaneiro используется для кражи криптовалюты с помощью метода, который отслеживает содержимое буфера обмена для данных крипто-кошелька. Если такие данные обнаруживаются, вредоносная программа заменяет их кошельком хакера.
Семейство вредоносных программ Casbaneiro характеризуется использованием нескольких криптографических алгоритмов, которые используются для скрытия строк в исполняемых файлах и для расшифровки загруженных загрузок и настроек. Первоначальным носителем инфекции Casbaniero является вредоносная электронная почта - тот же метод, что и Amavaldo.
Одним из наиболее интересных аспектов Casbaneiro является стремление его операторов скрыть домен и порт C&C сервера в различных местах, например, в поддельных записях DNS, в электронных документах, хранящихся в Документах Google, или на поддельных веб-сайтах, которые , предположительно, принадлежат юридическим лицам.
В некоторых случаях домены C&C серверов были зашифрованы и скрыты на законных сайтах, в первую очередь это описания в различных видеороликах YouTube.
Casbaneiro в основном атаковал банковские приложения в Бразилии и Мексике.
Более подробную информацию о Casbaneiro можно найти в статье "Casbaneiro: опасная кулинария с секретным ингредиентом»На WeLiveSecurity.
Greek
Chinese (Simplified)
English
Greek
Russian των banking trojans στη Λατινική Αμερική, ανακάλυψε την){kind=link}