SecurityOpenLab

Casbaneiro è il trojan bancario che flagella gli utenti latino americani

Si chiama Casbaneiro il trojan bancario che colpisce gli utenti di banche latino americane e servizi di criptovaluta. Arriva via email e copre efficacemente le proprie tracce.

Casbaneiro, o Metamorfo, è il nome di un trojan bancario con funzionalità di backdoor diffuso più che altro in Brasile e Messico. Ha molteplici funzioni. Colpisce gli utenti di banche e servizi di criptovaluta, visualizzando finestre popup che spingono all'inserimento di dati sensibili. Una volta entrato nel computer della vittima, può vedere il nome dell'utente, la presenza di antivirus, applicazioni bancarie e altri software. Consente inoltre ai cyber criminali di acquisire schermate da remoto, registrare sequenze di tasti, scaricare e installare aggiornamenti, limitare l’accesso a siti Web.

Casbaneiro può anche tentare di sottrarre criptovalute della vittima. Se evidenzia la presenza di un portafoglio di criptovaluta, sostituisce i dati dell'utente legittimo con quelli dell'attaccante. Una tecnica già vista con il trojan bancario BackSwap.

csaibaneroPaesi in cui è diffuso Casbaneiro
Al momento risultano almeno quattro varianti del malware, accomunate da un core identico analizzato dai ricercatori di ESET. Le varianti utilizzano la stessa chiave di decrittazione di stringhe e gli stessi meccanismi. La differenza è che alcune sfruttano un controllo delle versioni differente. A livello di funzionalità cambia poco. Diverse prove legano famiglia di malware ad Amavaldo, un altro trojan bancario latinoamericano. Da una parte Casbaneiro è facile da identificare perché usa una tabella di stringhe con centinaia di voci. Dall'altra capirne le mosse è complesso, perché i comandi a distanza sono crittografati tramite AES-256.

Gli esperti di sicurezza di ESET ritengono che la catena di distribuzione di Casbaneiro inizi sempre con un’email pericolosa. Utilizza uno script PowerShell molto simile a quello impiegato da Amavaldo. Benché alcune parti differiscano, entrambi gli script provengono chiaramente da una fonte comune e utilizzano gli stessi metodi di offuscamento.

csaibanero 3Finestra per tentare di ottenere le credenziali Outlook della vittima
Il problema con questo tipo di minaccia è risalire alla fonte. I cyber criminali fanno di tutto per nascondere il dominio e la porta usata dal server C&C. Usano la crittografia, in altri archiviano i dati in un percorso online. Ci sono prove, ad esempio, di un file Google Documents pieno di testo spazzatura, con il dominio codificato con un valore esadecimale e memorizzato tra i delimitatori “!”.

Un altro metodo di "protezione" è quello di nascondere il dominio in un falso sito Web. Ad esempio, una versione falsa di quello per la visualizzazione dell’ora corrente in Brasile. Ultima opzione è incorporare l'informazione chiave in un sito Web legittimo, come ad esempio YouTube. Un account incentrato sulle ricette di cucina e l’altro sul calcio venivano usati per la diffusione degli indirizzi dei server C&C.  Trovare il video non poneva fine alla caccia. Ogni video conteneva una descrizione, nella descrizione c’era un collegamento a un falso URL di Facebook o Instagram. Il dominio del server C&C era inserito in questo collegamento, crittografato.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 08/10/2019


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore