Les acteurs de la menace financièrement motivés derrière le Casbaneiro famille de logiciels malveillants bancaires ont été observés en utilisant un contrôle de compte d’utilisateur (UAC) technique de contournement pour obtenir tous les privilèges administratifs sur une machine, signe que l’auteur de la menace fait évoluer ses tactiques pour éviter la détection et exécuter du code malveillant sur les actifs compromis.
« Ils sont toujours fortement concentrés sur les institutions financières latino-américaines, mais les changements dans leurs techniques représentent également un risque important pour les organisations financières multirégionales », a déclaré Sygnia. a dit dans une déclaration partagée avec The Hacker News.
Casbaneiro, également connu sous le nom de Metamorfo et Ponteiro, est surtout connu pour son cheval de Troie bancaire, qui est apparu pour la première fois dans des campagnes massives de spam par e-mail ciblant le secteur financier latino-américain en 2018.
Les chaînes d’infection commencent généralement par un e-mail de phishing pointant vers une pièce jointe piégée qui, lorsqu’elle est lancée, active une série d’étapes qui aboutissent au déploiement du logiciel malveillant bancaire, ainsi que des scripts qui exploitent les techniques de vie hors de la terre (LotL) pour identifier l’hôte et collecter les métadonnées du système.
Un binaire appelé Horabot est également téléchargé à ce stade, conçu pour propager l’infection en interne à d’autres employés sans méfiance de l’organisation piratée.
« Cela ajoute de la crédibilité à l’e-mail envoyé, car il n’y a pas d’anomalies évidentes dans les en-têtes d’e-mail (domaines externes suspects), ce qui déclencherait généralement l’action et l’atténuation des solutions de sécurité des e-mails », a déclaré la société de cybersécurité dans un précédent rapport publié en avril 2022. « Les e-mails incluent la même pièce jointe PDF utilisée pour compromettre les hôtes victimes précédents, et donc la chaîne est exécutée une fois de plus. »
Ce qui a changé dans les récentes vagues d’attaques, c’est que l’attaque est déclenchée par un e-mail de harponnage intégré avec un lien vers un fichier HTML qui redirige la cible pour télécharger un fichier RAR, une déviation de l’utilisation de pièces jointes PDF malveillantes avec un lien de téléchargement vers un fichier ZIP.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Un deuxième changement majeur dans le modus operandi concerne l’utilisation de fodhelper.exe pour atteindre un Contournement UAC et atteindre un niveau d’exécution élevé.
Sygnia a déclaré avoir également observé des attaquants de Casbaneiro créer un faux dossier sur C:Windows[space]system32 pour copier l’exécutable fodhelper.exe, bien que le chemin spécialement conçu n’ait jamais été utilisé dans l’intrusion.
« Il est possible que l’attaquant ait déployé le dossier fictif pour contourner les détections AV ou pour exploiter ce dossier pour les DLL à chargement latéral avec des binaires signés Microsoft pour le contournement UAC », a déclaré la société.
Le développement marque la troisième fois que l’approche du dossier de confiance fictif a été détectée dans la nature ces derniers mois, avec la méthode utilisée dans les campagnes fournissant un chargeur de logiciels malveillants appelé DBatLoader ainsi que des chevaux de Troie d’accès à distance comme Warzone RAT (alias Ave Maria).