ESET는 은행 트로이 목마의 새로운 Casbaneiro 제품군을 공부. 악성 프로그램은 브라질과 멕시코 사용자의 암호 화폐 사냥 및 비디오 설명에서 흔적을 숨기기 위해 유튜브를 사용.
디공부하는 동안, ESET 전문가들은 Casbaneiro 뱅킹 트로이 목마의 또 다른 가족과 유사한 기능을 가진 발견 – mavaldo. 악성 프로그램은 동일한 암호화 알고리즘을 사용하고 유사한 악성 이메일 유틸리티를 배포합니다..아마발도처럼, Casbaneiro 트로이 목마는 팝업 및 양식을 사용하여 희생자를 속입니다.. 이러한 사회 공학 방법은 기본 감정을 목표로합니다. – 사람이 급하게, 망설임 없이 결정을 내려야 한다. 이유는 소프트웨어 업데이트일 수 있습니다., 신용 카드 확인, 또는 은행의 요청.
“관찰된 한 가지 방법은 온라인 문서에 C2 주소를 삽입하는 것입니다. (구글 문서). 파일은 쓸모없는 텍스트로 채워져 있지만 암호화된 형식의 도메인 이름도 포함합니다.. 문자열의 시작과 끝은 느낌표로 표시되며 16진수로 인코딩됩니다.", - 보고서 ESET 연구원.
감염 후, Casbaneiro는 다양한 은행 사이트에 대한 액세스를 제한합니다., 키 입력을 모니터링하고 스크린샷을 찍을 뿐만 아니라. 게다가, 트로이 목마는 클립보드를 모니터링합니다. – 악성코드가 암호화폐 지갑의 개인정보를 본 경우, 받는 사람의 주소를 사기꾼의 지갑으로 바꿉니다..
Casbaneiro 제품군은 많은 정교한 알고리즘을 사용하여 코드를 마스킹합니다., 다운로드한 구성 요소의 암호 해독, 및 구성 데이터. Casbaniero가 배포되는 주요 방법은 악성 피싱 이메일을 통한 것입니다., 아마발도처럼.
또한 읽기: 포르노 사이트 사용자에 트로이 목마 바레 니키 스파이
트로이 목마의 특징은 Casbaneiro 운영자가 C의 도메인과 포트를 조심스럽게 숨기려고 시도했다는 것입니다.&C 서버. 다양한 곳에 숨어있었어 – 가짜 DNS 레코드에서, 에서 구글 문서 온라인 문서, 다양한 기관의 가짜 웹사이트에서도. 때때로 공격자가 공식 사이트에서 관리 서버의 흔적을 숨길 수 있다는 것이 흥미 롭습니다., 뿐만 아니라 비디오 설명에서 유튜브.
YouTube에 연결하는 것은 정상적인 트래픽이므로 걱정할 필요가 없습니다.. 영상만 봐도 잘 모르겠고 설명 마지막에 있는 링크도 놓치기 쉽상, 연구자들은 말한다.
악성코드가 정교하지는 않지만, 그 기능은 운영자를 위한 여러 수익원을 생성하거나 다른 돈 중심 공격으로 전환할 수 있을 만큼 충분히 광범위합니다..
