Τρίτη, 26 Μαΐου, 03:36
Αρχική security Casbaneiro banking trojan κλοπή κρυπτονομισμάτων & κατάχρηση του YouTube

Casbaneiro banking trojan κλοπή κρυπτονομισμάτων & κατάχρηση του YouTube

Η ESET, ερευνώντας τα TTP (tactics, techniques, procedures) των banking trojans στη Λατινική Αμερική, ανακάλυψε την οικογένεια κακόβουλου λογισμικού Casbaneiro.

Στο πλαίσιο των ερευνών που οδήγησαν στην ανακάλυψη της οικογένειας Amavaldo, η ομάδα της ESET εντόπισε επίσης ότι το Casbaneiro εμφανίζει ανάλογη λειτουργικότητα – και οι δύο οικογένειες κακόβουλου λογισμικού χρησιμοποιούν τον ίδιο κρυπτογραφικό αλγόριθμο και διανέμουν ένα παρόμοιο εργαλείο ηλεκτρονικού ταχυδρομείου.

Η οικογένεια Casbaneiro χρησιμοποιεί επίσης την κοινωνική μηχανική για να ξεγελάσει τα θύματα, αντιγράφοντας την τακτική του Amavaldo να χρησιμοποιεί πλαστά αναδυόμενα παράθυρα και φόρμες. Αυτές οι επιθέσεις επικεντρώνονται συνήθως στο να πείσουν το θύμα να προχωρήσει σε επείγουσες ή αναγκαίες ενέργειες, όπως εγκατάσταση μιας ενημέρωσης λογισμικού, ή επαλήθευση στοιχείων πιστωτικής ή τραπεζικού λογαριασμού.

Μόλις εισβάλλει στη συσκευή του θύματος, το Casbaneiro χρησιμοποιεί εντολές backdoor για να τραβήξει στιγμιότυπα οθόνης, να περιορίσει την πρόσβαση σε διάφορους τραπεζικούς ιστότοπους και να καταγράψει πληκτρολογήσεις.

Επιπλέον, το Casbaneiro χρησιμοποιείται για να κλέψει κρυπτονομίσματα μέσω μιας τεχνικής που παρακολουθεί το περιεχόμενο του clipboard για δεδομένα από πορτοφόλια κρυπτονομισμάτων. Αν εντοπιστούν τέτοια δεδομένα, το κακόβουλο λογισμικό τα αντικαθιστά με το πορτοφόλι κρυπτονομισμάτων του χάκερ.

Η οικογένεια κακόβουλου λογισμικού Casbaneiro χαρακτηρίζεται από τη χρήση πολλαπλών κρυπτογραφικών αλγορίθμων, που χρησιμοποιούνται για να κρύψουν συμβολοσειρές μέσα στα εκτελέσιμα αρχεία και για να αποκρυπτογραφήσουν ληφθέντα payload και ρυθμίσεις. Ο αρχικός φορέας μόλυνσης του Casbaniero είναι ένα κακόβουλο email – η ίδια μέθοδος που χρησιμοποιείται από το Amavaldo.

Μια από τις πιο ενδιαφέρουσες πτυχές του Casbaneiro είναι οι προσπάθειες των χειριστών του να κρύψουν το domain και τη θύρα του C&C server σε διάφορα σημεία, όπως σε ψεύτικες καταχωρίσεις DNS, μέσα σε ηλεκτρονικά έγγραφα που είναι αποθηκευμένα στα Έγγραφα Google ή μέσα σε ψεύτικα websites που, υποτιθέμενα, ανήκουν σε νόμιμους οργανισμούς.

Σε ορισμένες περιπτώσεις, τα domain των C&C server έχουν κρυπτογραφηθεί και έχουν κρυφτεί σε νόμιμους ιστότοπους, κυρίως στις περιγραφές σε διάφορα βίντεο στο YouTube.
Το Casbaneiro έχει επιτεθεί κυρίως σε τραπεζικές εφαρμογές στη Βραζιλία και το Μεξικό.
Περισσότερες πληροφορίες σχετικά με το Casbaneiro βρίσκονται στο άρθρο «Casbaneiro: Dangerous cooking with a secret ingredient» στο WeLiveSecurity.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....