SecurityOpenLab

Casbaneiro è il trojan bancario che flagella gli utenti latino americani

Si chiama Casbaneiro il trojan bancario che colpisce gli utenti di banche latino americane e servizi di criptovaluta. Arriva via email e copre efficacemente le proprie tracce.

Casbaneiro, o Metamorfo, è il nome di un trojan bancario con funzionalità di backdoor diffuso più che altro in Brasile e Messico. Ha molteplici funzioni. Colpisce gli utenti di banche e servizi di criptovaluta, visualizzando finestre popup che spingono all'inserimento di dati sensibili. Una volta entrato nel computer della vittima, può vedere il nome dell'utente, la presenza di antivirus, applicazioni bancarie e altri software. Consente inoltre ai cyber criminali di acquisire schermate da remoto, registrare sequenze di tasti, scaricare e installare aggiornamenti, limitare l’accesso a siti Web.

Casbaneiro può anche tentare di sottrarre criptovalute della vittima. Se evidenzia la presenza di un portafoglio di criptovaluta, sostituisce i dati dell'utente legittimo con quelli dell'attaccante. Una tecnica già vista con il trojan bancario BackSwap.

csaibaneroPaesi in cui è diffuso Casbaneiro
Al momento risultano almeno quattro varianti del malware, accomunate da un core identico analizzato dai ricercatori di ESET. Le varianti utilizzano la stessa chiave di decrittazione di stringhe e gli stessi meccanismi. La differenza è che alcune sfruttano un controllo delle versioni differente. A livello di funzionalità cambia poco. Diverse prove legano famiglia di malware ad Amavaldo, un altro trojan bancario latinoamericano. Da una parte Casbaneiro è facile da identificare perché usa una tabella di stringhe con centinaia di voci. Dall'altra capirne le mosse è complesso, perché i comandi a distanza sono crittografati tramite AES-256.

Gli esperti di sicurezza di ESET ritengono che la catena di distribuzione di Casbaneiro inizi sempre con un’email pericolosa. Utilizza uno script PowerShell molto simile a quello impiegato da Amavaldo. Benché alcune parti differiscano, entrambi gli script provengono chiaramente da una fonte comune e utilizzano gli stessi metodi di offuscamento.

csaibanero 3Finestra per tentare di ottenere le credenziali Outlook della vittima
Il problema con questo tipo di minaccia è risalire alla fonte. I cyber criminali fanno di tutto per nascondere il dominio e la porta usata dal server C&C. Usano la crittografia, in altri archiviano i dati in un percorso online. Ci sono prove, ad esempio, di un file Google Documents pieno di testo spazzatura, con il dominio codificato con un valore esadecimale e memorizzato tra i delimitatori “!”.

Un altro metodo di "protezione" è quello di nascondere il dominio in un falso sito Web. Ad esempio, una versione falsa di quello per la visualizzazione dell’ora corrente in Brasile. Ultima opzione è incorporare l'informazione chiave in un sito Web legittimo, come ad esempio YouTube. Un account incentrato sulle ricette di cucina e l’altro sul calcio venivano usati per la diffusione degli indirizzi dei server C&C.  Trovare il video non poneva fine alla caccia. Ogni video conteneva una descrizione, nella descrizione c’era un collegamento a un falso URL di Facebook o Instagram. Il dominio del server C&C era inserito in questo collegamento, crittografato.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 08/10/2019



Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy