Casbaneiro bancário Trojan usado YouTube para roubar criptomoeda

Eset estudou a nova família Casbaneiro de Trojans bancários. Um programa malicioso caçados por criptomoeda dos usuários brasileiros e mexicanos e usou o YouTube para esconder vestígios nas descrições de vídeo.

Durante o estudo, especialistas Eset descobriu que Casbaneiro tem funcionalidade semelhante a uma outra família de Trojans bancários – A mavaldo. Os programas maliciosos usam o mesmo algoritmo criptográfico e distribuem um utilitário de e-mail malicioso semelhante.

como amavaldo, o Trojan Casbaneiro usa pop-ups e formulários para enganar as vítimas. Esses métodos de engenharia social são direcionados às emoções primárias – uma pessoa está com urgência, sem hesitação forçado a tomar uma decisão. O motivo pode ser uma atualização de software, verificação de cartão de credito, ou um pedido de um banco.

“Um método observado é ter o endereço C2 incorporado em um documento online (documentos Google). O arquivo está cheio de texto inútil, mas também contém o nome do domínio de forma criptografada. O início e o fim da string são marcados por um ponto de exclamação e são codificados em hexadecimal ”, - relatório Pesquisadores ESET.

após a infecção, Casbaneiro restringe acesso a vários sites de bancos, bem como monitora as teclas digitadas e faz capturas de tela. além do que, além do mais, o Trojan monitora a área de transferência – se o malware vê os dados pessoais de uma carteira de criptomoeda, substitui o endereço do destinatário pela carteira do golpista.

A família Casbaneiro usa muitos algoritmos sofisticados para mascarar o código, descriptografar componentes baixados, e dados de configuração. A principal forma de distribuição do Casbaniero é por meio de e-mails de phishing maliciosos, como amavaldo.

Leia também: espiões Trojan varenyky sobre usuários sites pornográficos

Uma característica do Trojan era que os operadores Casbaneiro tentavam cuidadosamente esconder o domínio e o porto do C&servidor C. Ele estava escondido em uma variedade de lugares – em registros DNS falsos, Em documentos Google documentos online, e até mesmo em sites falsos de várias instituições. É interessante que às vezes os invasores conseguem ocultar os rastros do servidor de gerenciamento em sites oficiais, bem como em descrições de vídeo em Youtube.

Conectar-se ao YouTube não é motivo de preocupação, pois é tráfego normal. Mesmo dando uma olhada no vídeo não dá nenhuma pista e o link no final da descrição é facilmente perdido, os pesquisadores dizem.

Embora o malware não seja sofisticado, seus recursos são extensos o suficiente para gerar vários fluxos de receita para seus operadores ou para permitir que eles mudem para diferentes ataques baseados em dinheiro.

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo