Los actores de amenazas financieramente motivados detrás de la Casbaneiro Se ha observado que la familia de malware bancario hace uso de un control de cuentas de usuario (UAC) técnica de omisión para obtener privilegios administrativos completos en una máquina, una señal de que el actor de amenazas está evolucionando sus tácticas para evitar la detección y ejecutar código malicioso en activos comprometidos.
“Todavía están fuertemente enfocados en las instituciones financieras latinoamericanas, pero los cambios en sus técnicas también representan un riesgo significativo para las organizaciones financieras multirregionales”, Sygnia dicho en un comunicado compartido con The Hacker News.
Casbaneiro, también conocido como Metamorfo y Ponteiro, es mejor conocido por su troyano bancario, que surgió por primera vez en campañas masivas de correo electrónico no deseado dirigidas al sector financiero latinoamericano en 2018.
Las cadenas de infección generalmente comienzan con un correo electrónico de phishing que apunta a un archivo adjunto con una trampa explosiva que, cuando se inicia, activa una serie de pasos que culminan en la implementación del malware bancario, junto con scripts que aprovechan las técnicas de living-off-the-land (LotL) para tomar huellas dactilares del host y recopilar metadatos del sistema.
También se descarga en esta etapa un binario llamado Horabot que está diseñado para propagar la infección internamente a otros empleados desprevenidos de la organización violada.
“Esto agrega credibilidad al correo electrónico enviado, ya que no hay anomalías obvias en los encabezados de los correos electrónicos (dominios externos sospechosos), lo que normalmente desencadenaría que las soluciones de seguridad del correo electrónico actúen y mitiguen”, dijo la compañía de ciberseguridad en un informe anterior publicado en abril de 2022. “Los correos electrónicos incluyen el mismo archivo adjunto en PDF que se usó para comprometer a los hosts de las víctimas anteriores, por lo que la cadena se ejecuta una vez más”.
Lo que ha cambiado en las oleadas de ataques recientes es que el ataque se inicia con un correo electrónico de phishing con un enlace a un archivo HTML que redirige al objetivo para descargar un archivo RAR, una desviación del uso de archivos adjuntos en PDF maliciosos con un enlace de descarga a un archivo ZIP.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Un segundo cambio importante en el modus operandi se refiere al uso de fodhelper.exe para lograr un derivación UAC y alcanzar un alto nivel de integridad en la ejecución.
Sygnia dijo que también observó a los atacantes de Casbaneiro creando una carpeta simulada en C:Windows[space]system32 para copiar el ejecutable fodhelper.exe, aunque se dice que la ruta especialmente diseñada nunca se empleó en la intrusión.
“Es posible que el atacante haya implementado la carpeta simulada para eludir las detecciones de AV o para aprovechar esa carpeta para cargar archivos DLL con binarios firmados por Microsoft para eludir UAC”, dijo la compañía.
El desarrollo marca la tercera vez que se detecta el enfoque de la carpeta de confianza simulada en la naturaleza en los últimos meses, con el método utilizado en campañas que entregan un cargador de malware llamado DBatLoader, así como troyanos de acceso remoto como Warzone RAT (también conocido como Ave Maria).
About the Author
