Casbaneiro หรือในชื่ออื่นอย่าง Metamorfo เป็นโทรจันธุรกรรมจากละตินอเมริกา ที่โจมตีธนาคารและบริการสกุลเงินออนไลน์ใน บราซิลและเม็กซิโก โดยใช้วิธี Social Engineering หรือการใช้ระบบสังคมออนไลน์เพื่อเข้าถึงเป้าหมาย เพื่อขโมยข้อมูลสำคัญ
ความสามารถของ backdoor นี้ก็คือการถ่ายภาพหน้าจอและส่งให้แฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C เก็บข้อมูลการใช้งานคีย์บอร์ด ดาวน์โหลด และติดตั้งอัพเดต จำกัดการเข้าถึงเว็บไซต์และดาวน์โหลดและเริ่มทำงานไฟล์ .EXE
การแพร่กระจาย
แผนการที่ 1: อัพเดต Fishy Financial Manager
ในแผนการนี้จะหลอกผู้ใช้ให้ดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ทำเลียนแบบ:
- ดาวน์โหลดไฟล์ประกอบด้วย:
– มัลแวร์ Casbaneiro ที่ปลอมตัวเป็น Spotify.exe
– DLLs อื่นๆ - แตกไฟล์จาก Archive ไปที่ %APPDATA%\Spotify\
- ฝังตัว
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, Spotify = %APPDATA%\Spotify\Spotify.exe
เรายังพบที่เป็น OneDrive หรือ WhatsApp และเปลี่ยนชื่อโฟลเดอร์
แผนการที่ 2: ตัว Activate Windows ปลอม
เป็นชุดไฟล์สำหรับ Crack Windows หรือ Microsoft Office ชื่อว่า Re-Loader หากเริ่มทำงานแล้วจะดาวน์โหลดและติดตั้ง Casbaneiro
เราเชื่อว่า Casbaneiro มีความเชื่อมโยงกับ Amavaldo ด้วยลักษณะเฉพาะตัว อัลกอริทึม รวมถึงสคริปต์ PowerShell ในแผนการ และวิธีการแพร่กระจาย
ผู้อยู่เบื้องหลัง Casbaneiro ซ่อนที่อยู่ของเซิร์ฟเวอร์ C&C รวมถึงเอกสาร เว็บไซต์จริงและปลอม กับ DNS ปลอม
Author: ESET Research
Source: https://www.welivesecurity.com/2019/10/03/casbaneiro-trojan-dangerous-cooking/
Translated by: Worapon H.
Like this:
ถูกใจ กำลังโหลด...
Casbaneiro หรือในชื่ออื่นอย่าง Metamorfo เป็นโทรจันธุรกรรมจากละตินอเมริกา ที่โจมตีธนาคารและบริการสกุลเงินออนไลน์ใน บราซิลและเม็กซิโก โดยใช้วิธี Social Engineering หรือการใช้ระบบสังคมออนไลน์เพื่อเข้าถึงเป้าหมาย เพื่อขโมยข้อมูลสำคัญ
ความสามารถของ backdoor นี้ก็คือการถ่ายภาพหน้าจอและส่งให้แฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C เก็บข้อมูลการใช้งานคีย์บอร์ด ดาวน์โหลด และติดตั้งอัพเดต จำกัดการเข้าถึงเว็บไซต์และดาวน์โหลดและเริ่มทำงานไฟล์ .EXE
การแพร่กระจาย
แผนการที่ 1: อัพเดต Fishy Financial Manager
ในแผนการนี้จะหลอกผู้ใช้ให้ดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ทำเลียนแบบ:
– มัลแวร์ Casbaneiro ที่ปลอมตัวเป็น Spotify.exe
– DLLs อื่นๆ
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, Spotify = %APPDATA%\Spotify\Spotify.exe
เรายังพบที่เป็น OneDrive หรือ WhatsApp และเปลี่ยนชื่อโฟลเดอร์
แผนการที่ 2: ตัว Activate Windows ปลอม
เป็นชุดไฟล์สำหรับ Crack Windows หรือ Microsoft Office ชื่อว่า Re-Loader หากเริ่มทำงานแล้วจะดาวน์โหลดและติดตั้ง Casbaneiro
เราเชื่อว่า Casbaneiro มีความเชื่อมโยงกับ Amavaldo ด้วยลักษณะเฉพาะตัว อัลกอริทึม รวมถึงสคริปต์ PowerShell ในแผนการ และวิธีการแพร่กระจาย
ผู้อยู่เบื้องหลัง Casbaneiro ซ่อนที่อยู่ของเซิร์ฟเวอร์ C&C รวมถึงเอกสาร เว็บไซต์จริงและปลอม กับ DNS ปลอม
Author: ESET Research
Source: https://www.welivesecurity.com/2019/10/03/casbaneiro-trojan-dangerous-cooking/
Translated by: Worapon H.
Share this:
Like this: