Бесплатно Экспресс-аудит сайта:

26.07.2023

Хакеры Casbaneiro идут по головам латиноамериканских банков

Исследователи кибербезопасности недавно обнаружили, что киберпреступники, стоящие за семейством вредоносных программ Casbaneiro, которые активно используются для шпионажа в банковском секторе Латинской Америки, были замечены в использовании метода обхода контроля учётных записей ( UAC ) для получения полных административных привилегий на компьютерах с операционной системой Windows.

«Преступники по-прежнему сосредоточены на латиноамериканских финансовых учреждениях, но изменения в их методах представляют значительный риск для финансовых организаций в других странах», — говорится в сегодняшнем отчёте компании Sygnia .

Casbaneiro, также известный как Metamorfo и Ponteiro — это в первую очередь банковский троян, который впервые появился в массовых спам-рассылках на электронную почту, нацеленных на латиноамериканский финансовый сектор в 2018 году.

В последних волнах атак заражение начинается с фишингового письма со ссылкой на HTML -файл, который перенаправляет жертву на загрузку вредоносного RAR-архива. Ранее эта же группировка злоумышленников использовала PDF -вложения с фоновой загрузкой ZIP-архивов.

Второе важное изменение касается использования пентестерского инструмента « fodhelper.exe » для обхода UAC и скрытного получения привилегий администратора.

Как сообщает Sygnia, в последней волне атак злоумышленники также создавали в системном разделе «мнимый» каталог «C:Windows system32» (в пути содержится лишний пробел) для копирования исполняемого файла fodhelper.exe.

«Возможно, злоумышленники развернули мнимый каталог, чтобы обойти обнаружение антивирусами или использовать её для применения DLL Sideloading в связке с библиотекой с цифровой подписью Microsoft для обхода UAC», — объяснили исследователи Sygnia.

За последние месяцы это уже третий общеизвестный случай использования злоумышленниками метода имитации доверенных каталогов в реальных атаках. Ранее хакеры прибегали к этой технике при распространении загрузчика DBatLoader и разнообразных троянов удалённого доступа, таких как Warzone RAT.