Eset estudió la nueva familia de troyanos bancarios Casbaneiro. Un programa malicioso cazado por criptomoneda de los usuarios de Brasil y México y se utiliza YouTube para ocultar los rastros en las descripciones de video.
reurante el estudio, expertos Eset encontrado que Casbaneiro tiene una funcionalidad similar a otra familia de troyanos bancarios – Un mavaldo. Los programas maliciosos utilizan el mismo algoritmo criptográfico y distribuyen una utilidad de correo electrónico maliciosa similar.como amavaldo, el troyano Casbaneiro utiliza ventanas emergentes y formularios para engañar a las víctimas. Tales métodos de ingeniería social están dirigidos a emociones primarias. – una persona es urgente, sin dudarlo obligado a tomar una decisión. El motivo puede ser una actualización de software, Verificación de tarjeta de crédito, o una solicitud de un banco.
“Un método observado es tener la dirección C2 incrustada en un documento en línea (Documentos de Google). El archivo está lleno de texto inútil pero también contiene el nombre del dominio en forma encriptada. El inicio y el final de la cadena están marcados con un signo de exclamación y están codificados en hexadecimal ", - informe Investigadores de ESET.
después de la infección, Casbaneiro restringe el acceso a varios sitios bancarios, así como monitorea las pulsaciones de teclas y toma capturas de pantalla. Adicionalmente, el troyano monitorea el portapapeles – si el malware ve los datos personales de una billetera de criptomonedas, reemplaza la dirección del destinatario con la billetera del estafador.
La familia Casbaneiro utiliza muchos algoritmos sofisticados para enmascarar el código, desencriptar componentes descargados, y datos de configuración. La principal forma de distribución de Casbaniero es a través de correos electrónicos de phishing maliciosos., como amavaldo.
leer también: espías de Troya varenyky en los usuarios los sitios de pornografía
Una característica del troyano fue que los operadores de Casbaneiro intentaron cuidadosamente ocultar el dominio y el puerto de la C&servidor de C. Estaba escondido en una variedad de lugares. – en registros DNS falsos, En Documentos de Google documentos en línea, e incluso en sitios web falsos de diversas instituciones. Es interesante que a veces los atacantes lograron ocultar los rastros del servidor de administración en los sitios oficiales., así como en las descripciones de los videos en Youtube.
La conexión a YouTube no es motivo de preocupación porque es tráfico normal.. Incluso mirar el video no da ninguna pista y el enlace al final de la descripción se pierde fácilmente, los investigadores dicen.
Aunque el malware no es sofisticado, sus capacidades son lo suficientemente amplias como para generar múltiples fuentes de ingresos para sus operadores o para permitirles cambiar a diferentes ataques impulsados por el dinero.
