Casbaneiro troyano bancario utiliza YouTube para robar criptomoneda

Eset estudió la nueva familia de troyanos bancarios Casbaneiro. Un programa malicioso cazado por criptomoneda de los usuarios de Brasil y México y se utiliza YouTube para ocultar los rastros en las descripciones de video.

reurante el estudio, expertos Eset encontrado que Casbaneiro tiene una funcionalidad similar a otra familia de troyanos bancarios – Un mavaldo. Los programas maliciosos utilizan el mismo algoritmo criptográfico y distribuyen una utilidad de correo electrónico maliciosa similar.

como amavaldo, el troyano Casbaneiro utiliza ventanas emergentes y formularios para engañar a las víctimas. Tales métodos de ingeniería social están dirigidos a emociones primarias. – una persona es urgente, sin dudarlo obligado a tomar una decisión. El motivo puede ser una actualización de software, Verificación de tarjeta de crédito, o una solicitud de un banco.

“Un método observado es tener la dirección C2 incrustada en un documento en línea (Documentos de Google). El archivo está lleno de texto inútil pero también contiene el nombre del dominio en forma encriptada. El inicio y el final de la cadena están marcados con un signo de exclamación y están codificados en hexadecimal ", - informe Investigadores de ESET.

después de la infección, Casbaneiro restringe el acceso a varios sitios bancarios, así como monitorea las pulsaciones de teclas y toma capturas de pantalla. Adicionalmente, el troyano monitorea el portapapeles – si el malware ve los datos personales de una billetera de criptomonedas, reemplaza la dirección del destinatario con la billetera del estafador.

La familia Casbaneiro utiliza muchos algoritmos sofisticados para enmascarar el código, desencriptar componentes descargados, y datos de configuración. La principal forma de distribución de Casbaniero es a través de correos electrónicos de phishing maliciosos., como amavaldo.

leer también: espías de Troya varenyky en los usuarios los sitios de pornografía

Una característica del troyano fue que los operadores de Casbaneiro intentaron cuidadosamente ocultar el dominio y el puerto de la C&servidor de C. Estaba escondido en una variedad de lugares. – en registros DNS falsos, En Documentos de Google documentos en línea, e incluso en sitios web falsos de diversas instituciones. Es interesante que a veces los atacantes lograron ocultar los rastros del servidor de administración en los sitios oficiales., así como en las descripciones de los videos en Youtube.

La conexión a YouTube no es motivo de preocupación porque es tráfico normal.. Incluso mirar el video no da ninguna pista y el enlace al final de la descripción se pierde fácilmente, los investigadores dicen.

Aunque el malware no es sofisticado, sus capacidades son lo suficientemente amplias como para generar múltiples fuentes de ingresos para sus operadores o para permitirles cambiar a diferentes ataques impulsados ​​por el dinero.

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

No te des la vuelta: alguien podría estar mirándote

¿Ha escuchado que al escuchar lo que se escribe en su PC, algunos pueden descifrar …

REvil estafa a sus propios miembros

Durante los últimos meses, el mundo de los ciberdelincuentes estuvo lleno de rumores de que el liderazgo de REvil, uno …

Deja una respuesta