Хакеры Casbaneiro идут по головам латиноамериканских банков

Хакеры Casbaneiro идут по головам латиноамериканских банков

Контроль учётных записей Windows больше не может сдержать натиск хитрых преступников.

image

Исследователи кибербезопасности недавно обнаружили, что киберпреступники, стоящие за семейством вредоносных программ Casbaneiro, которые активно используются для шпионажа в банковском секторе Латинской Америки, были замечены в использовании метода обхода контроля учётных записей (UAC) для получения полных административных привилегий на компьютерах с операционной системой Windows.

«Преступники по-прежнему сосредоточены на латиноамериканских финансовых учреждениях, но изменения в их методах представляют значительный риск для финансовых организаций в других странах», — говорится в сегодняшнем отчёте компании Sygnia.

Casbaneiro, также известный как Metamorfo и Ponteiro — это в первую очередь банковский троян, который впервые появился в массовых спам-рассылках на электронную почту, нацеленных на латиноамериканский финансовый сектор в 2018 году.

В последних волнах атак заражение начинается с фишингового письма со ссылкой на HTML-файл, который перенаправляет жертву на загрузку вредоносного RAR-архива. Ранее эта же группировка злоумышленников использовала PDF-вложения с фоновой загрузкой ZIP-архивов.

Второе важное изменение касается использования пентестерского инструмента « fodhelper.exe » для обхода UAC и скрытного получения привилегий администратора.

Как сообщает Sygnia, в последней волне атак злоумышленники также создавали в системном разделе «мнимый» каталог «C:\Windows \system32» (в пути содержится лишний пробел) для копирования исполняемого файла fodhelper.exe.

«Возможно, злоумышленники развернули мнимый каталог, чтобы обойти обнаружение антивирусами или использовать её для применения DLL Sideloading в связке с библиотекой с цифровой подписью Microsoft для обхода UAC», — объяснили исследователи Sygnia.

За последние месяцы это уже третий общеизвестный случай использования злоумышленниками метода имитации доверенных каталогов в реальных атаках. Ранее хакеры прибегали к этой технике при распространении загрузчика DBatLoader и разнообразных троянов удалённого доступа, таких как Warzone RAT.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем