Casbaneiro banking Trojan gebruikt YouTube om cryptogeld stelen

Eset bestudeerde de nieuwe Casbaneiro familie van banking Trojans. Een kwaadaardig programma zocht naar cryptocurrency van Braziliaanse en Mexicaanse gebruikers en gebruikte YouTube om sporen in de videobeschrijvingen te verbergen.

Dtijdens de studie, Eset-experts ontdekten dat Casbaneiro functionaliteit heeft die vergelijkbaar is met die van een andere familie van banktrojans – Vavals. Schadelijke programma's gebruiken hetzelfde cryptografische algoritme en verspreiden een soortgelijk kwaadaardig e-mailprogramma.

Net als Amavaldo, de Casbaneiro Trojan gebruikt pop-ups en formulieren om slachtoffers te misleiden. Dergelijke methoden van social engineering zijn gericht op primaire emoties – een persoon is dringend, zonder aarzeling gedwongen om een ​​beslissing te nemen. De reden kan een software-update zijn, Pinpas verificatie, of een verzoek van een bank.

“Een waargenomen methode is om het C2-adres in een online document te laten opnemen (Google documenten). Het bestand is gevuld met nutteloze tekst maar bevat ook de naam van het domein in gecodeerde vorm. Het begin en het einde van de tekenreeks zijn gemarkeerd met een uitroepteken en zijn gecodeerd in hexadecimaal ", - verslag doen van ESET-onderzoekers.

na infectie, Casbaneiro beperkt de toegang tot verschillende bankwebsites, evenals controleert toetsaanslagen en maakt screenshots. In aanvulling op, de Trojan controleert het klembord – als de malware de persoonlijke gegevens van een cryptocurrency-portemonnee ziet, het vervangt het adres van de ontvanger door de portemonnee van de oplichter.

De Casbaneiro-familie gebruikt veel geavanceerde algoritmen om code te maskeren, decoderen gedownloade componenten, en configuratiegegevens. De belangrijkste manier waarop Casbaniero wordt verspreid, is via kwaadaardige phishing-e-mails, Net als Amavaldo.

Lees ook: Trojan Varenyky spionnen op pornosites gebruikers

Een kenmerk van de Trojan was dat Casbaneiro-operators zorgvuldig probeerden het domein en de poort van de C&C server. Hij was op verschillende plaatsen verborgen – in valse DNS-records, In Google documenten online documenten, en zelfs op nepwebsites van verschillende instellingen. Het is interessant dat aanvallers er soms in slaagden de sporen van de beheerserver op officiële sites te verbergen, evenals in videobeschrijvingen op Youtube.

Verbinding maken met YouTube is geen reden tot bezorgdheid, want het is normaal verkeer. Zelfs het bekijken van de video geeft geen idee en de link aan het einde van de beschrijving wordt gemakkelijk over het hoofd gezien, zeggen de onderzoekers.

Hoewel de malware niet verfijnd is, zijn mogelijkheden zijn uitgebreid genoeg om meerdere inkomstenstromen voor zijn operators te genereren of om hen in staat te stellen over te schakelen op verschillende geldgestuurde aanvallen.

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

De grootste DDoS-aanval op Microsoft's Azure

A massive DDoS attack on Microsoft Azure happened in August, 2021. The highest peak in

Microsoft lost zero-day-kwetsbaarheid op die door Chinese spionnen werd uitgebuit

Microsoft lost zero-day-kwetsbaarheid op die door Chinese spionnen werd uitgebuit

Microsoft lost zero-day-kwetsbaarheid op die naar verluidt door Chinese spionnen werd uitgebuit. The company’s October fixing patches plan

Laat een antwoord achter