Eset bestudeerde de nieuwe Casbaneiro familie van banking Trojans. Een kwaadaardig programma zocht naar cryptocurrency van Braziliaanse en Mexicaanse gebruikers en gebruikte YouTube om sporen in de videobeschrijvingen te verbergen.
Dtijdens de studie, Eset-experts ontdekten dat Casbaneiro functionaliteit heeft die vergelijkbaar is met die van een andere familie van banktrojans – Vavals. Schadelijke programma's gebruiken hetzelfde cryptografische algoritme en verspreiden een soortgelijk kwaadaardig e-mailprogramma.Net als Amavaldo, de Casbaneiro Trojan gebruikt pop-ups en formulieren om slachtoffers te misleiden. Dergelijke methoden van social engineering zijn gericht op primaire emoties – een persoon is dringend, zonder aarzeling gedwongen om een beslissing te nemen. De reden kan een software-update zijn, Pinpas verificatie, of een verzoek van een bank.
“Een waargenomen methode is om het C2-adres in een online document te laten opnemen (Google documenten). Het bestand is gevuld met nutteloze tekst maar bevat ook de naam van het domein in gecodeerde vorm. Het begin en het einde van de tekenreeks zijn gemarkeerd met een uitroepteken en zijn gecodeerd in hexadecimaal ", - verslag doen van ESET-onderzoekers.
na infectie, Casbaneiro beperkt de toegang tot verschillende bankwebsites, evenals controleert toetsaanslagen en maakt screenshots. In aanvulling op, de Trojan controleert het klembord – als de malware de persoonlijke gegevens van een cryptocurrency-portemonnee ziet, het vervangt het adres van de ontvanger door de portemonnee van de oplichter.
De Casbaneiro-familie gebruikt veel geavanceerde algoritmen om code te maskeren, decoderen gedownloade componenten, en configuratiegegevens. De belangrijkste manier waarop Casbaniero wordt verspreid, is via kwaadaardige phishing-e-mails, Net als Amavaldo.
Lees ook: Trojan Varenyky spionnen op pornosites gebruikers
Een kenmerk van de Trojan was dat Casbaneiro-operators zorgvuldig probeerden het domein en de poort van de C&C server. Hij was op verschillende plaatsen verborgen – in valse DNS-records, In Google documenten online documenten, en zelfs op nepwebsites van verschillende instellingen. Het is interessant dat aanvallers er soms in slaagden de sporen van de beheerserver op officiële sites te verbergen, evenals in videobeschrijvingen op Youtube.
Verbinding maken met YouTube is geen reden tot bezorgdheid, want het is normaal verkeer. Zelfs het bekijken van de video geeft geen idee en de link aan het einde van de beschrijving wordt gemakkelijk over het hoofd gezien, zeggen de onderzoekers.
Hoewel de malware niet verfijnd is, zijn mogelijkheden zijn uitgebreid genoeg om meerdere inkomstenstromen voor zijn operators te genereren of om hen in staat te stellen over te schakelen op verschillende geldgestuurde aanvallen.
