Eset studert den nye Casbaneiro familie av banktrojanerne. Et ondsinnet program jaktet på kryptovaluta fra brasilianske og meksikanske brukere og brukte YouTube for å skjule spor i videobeskrivelsene.
Dunderveis i studiet, Eset-eksperter fant ut at Casbaneiro har funksjonalitet som ligner på en annen familie av banktrojanere – Vavals. Ondsinnede programmer bruker den samme kryptografiske algoritmen og distribuerer et lignende ondsinnet e-postverktøy.Som Amavaldo, Casbaneiro-trojaneren bruker popup-vinduer og skjemaer for å lure ofre. Slike metoder for sosial ingeniørkunst er rettet mot primære følelser – en person er påtrengende, uten å nøle tvunget til å ta en avgjørelse. Årsaken kan være en programvareoppdatering, kredittkortverifisering, eller en forespørsel fra en bank.
"En metode som er observert er å ha C2-adressen innebygd i et nettdokument (google Dokumenter). Filen er fylt med ubrukelig tekst, men inneholder også navnet på domenet i kryptert form. Starten og slutten av strengen er merket med et utropstegn, og den er kodet i heksadesimal», - rapportere ESET-forskere.
etter smitte, Casbaneiro begrenser tilgangen til ulike banksider, samt overvåker tastetrykk og tar skjermbilder. I tillegg, trojaneren overvåker utklippstavlen – hvis skadevaren ser de personlige dataene til en kryptovaluta-lommebok, den erstatter mottakerens adresse med svindlerens lommebok.
Casbaneiro-familien bruker mange sofistikerte algoritmer for å maskere kode, dekryptere nedlastede komponenter, og konfigurasjonsdata. Den viktigste måten Casbaniero distribueres på er gjennom ondsinnede phishing-e-poster, Som Amavaldo.
Les også: Trojan varenyky spioner på pornosider brukere
Et trekk ved trojaneren var at Casbaneiro-operatører nøye prøvde å skjule domenet og havnen til C&C-server. Han var gjemt på en rekke steder – i falske DNS-poster, I google Dokumenter elektroniske dokumenter, og til og med på falske nettsider til forskjellige institusjoner. Det er interessant at noen ganger klarte angripere å skjule sporene til den administrerende serveren på offisielle nettsteder, samt i videobeskrivelser på Youtube.
Å koble til YouTube er ingen grunn til bekymring fordi det er normal trafikk. Selv å ta en titt på videoen gir ingen anelse, og lenken på slutten av beskrivelsen er lett å gå glipp av, sier forskerne.
Selv om skadelig programvare ikke er sophitisert, dens evner er omfattende nok til å generere flere inntektsstrømmer for operatørene eller gjøre dem i stand til å bytte til forskjellige pengedrevne angrep.
