Eset estudou a nova família Casbaneiro de Trojans bancários. Um programa malicioso caçados por criptomoeda dos usuários brasileiros e mexicanos e usou o YouTube para esconder vestígios nas descrições de vídeo.
Durante o estudo, especialistas Eset descobriu que Casbaneiro tem funcionalidade semelhante a uma outra família de Trojans bancários – A mavaldo. Os programas maliciosos usam o mesmo algoritmo criptográfico e distribuem um utilitário de e-mail malicioso semelhante.como amavaldo, o Trojan Casbaneiro usa pop-ups e formulários para enganar as vítimas. Esses métodos de engenharia social são direcionados às emoções primárias – uma pessoa está com urgência, sem hesitação forçado a tomar uma decisão. O motivo pode ser uma atualização de software, verificação de cartão de credito, ou um pedido de um banco.
“Um método observado é ter o endereço C2 incorporado em um documento online (documentos Google). O arquivo está cheio de texto inútil, mas também contém o nome do domínio de forma criptografada. O início e o fim da string são marcados por um ponto de exclamação e são codificados em hexadecimal ”, - relatório Pesquisadores ESET.
após a infecção, Casbaneiro restringe acesso a vários sites de bancos, bem como monitora as teclas digitadas e faz capturas de tela. além do que, além do mais, o Trojan monitora a área de transferência – se o malware vê os dados pessoais de uma carteira de criptomoeda, substitui o endereço do destinatário pela carteira do golpista.
A família Casbaneiro usa muitos algoritmos sofisticados para mascarar o código, descriptografar componentes baixados, e dados de configuração. A principal forma de distribuição do Casbaniero é por meio de e-mails de phishing maliciosos, como amavaldo.
Leia também: espiões Trojan varenyky sobre usuários sites pornográficos
Uma característica do Trojan era que os operadores Casbaneiro tentavam cuidadosamente esconder o domínio e o porto do C&servidor C. Ele estava escondido em uma variedade de lugares – em registros DNS falsos, Em documentos Google documentos online, e até mesmo em sites falsos de várias instituições. É interessante que às vezes os invasores conseguem ocultar os rastros do servidor de gerenciamento em sites oficiais, bem como em descrições de vídeo em Youtube.
Conectar-se ao YouTube não é motivo de preocupação, pois é tráfego normal. Mesmo dando uma olhada no vídeo não dá nenhuma pista e o link no final da descrição é facilmente perdido, os pesquisadores dizem.
Embora o malware não seja sofisticado, seus recursos são extensos o suficiente para gerar vários fluxos de receita para seus operadores ou para permitir que eles mudem para diferentes ataques baseados em dinheiro.