Cybersecurity Malware

Casbaneiro: สูตรอันตรายกับส่วนผสมลับ

Casbaneiro มัลแวร์อันตรายที่แพร่กระจายผ่านซอฟต์แวร์การเงินและ Re-Loader ตัวเปิดใช้งาน Windows เถื่อน

Casbaneiro หรือในชื่ออื่นอย่าง Metamorfo เป็นโทรจันธุรกรรมจากละตินอเมริกา ที่โจมตีธนาคารและบริการสกุลเงินออนไลน์ใน บราซิลและเม็กซิโก โดยใช้วิธี Social Engineering หรือการใช้ระบบสังคมออนไลน์เพื่อเข้าถึงเป้าหมาย เพื่อขโมยข้อมูลสำคัญ

ความสามารถของ backdoor นี้ก็คือการถ่ายภาพหน้าจอและส่งให้แฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C เก็บข้อมูลการใช้งานคีย์บอร์ด ดาวน์โหลด และติดตั้งอัพเดต จำกัดการเข้าถึงเว็บไซต์และดาวน์โหลดและเริ่มทำงานไฟล์ .EXE

การแพร่กระจาย

แผนการที่ 1: อัพเดต Fishy Financial Manager

ในแผนการนี้จะหลอกผู้ใช้ให้ดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ทำเลียนแบบ:

  • ดาวน์โหลดไฟล์ประกอบด้วย:
    – มัลแวร์ Casbaneiro ที่ปลอมตัวเป็น Spotify.exe
    – DLLs อื่นๆ
  • แตกไฟล์จาก Archive ไปที่ %APPDATA%\Spotify\
  • ฝังตัว
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run, Spotify = %APPDATA%\Spotify\Spotify.exe

เรายังพบที่เป็น OneDrive หรือ WhatsApp และเปลี่ยนชื่อโฟลเดอร์

แผนการที่ 2: ตัว Activate Windows ปลอม

เป็นชุดไฟล์สำหรับ Crack Windows หรือ Microsoft Office ชื่อว่า Re-Loader หากเริ่มทำงานแล้วจะดาวน์โหลดและติดตั้ง Casbaneiro

เราเชื่อว่า Casbaneiro มีความเชื่อมโยงกับ Amavaldo ด้วยลักษณะเฉพาะตัว อัลกอริทึม รวมถึงสคริปต์ PowerShell ในแผนการ และวิธีการแพร่กระจาย

ผู้อยู่เบื้องหลัง Casbaneiro ซ่อนที่อยู่ของเซิร์ฟเวอร์ C&C รวมถึงเอกสาร เว็บไซต์จริงและปลอม กับ DNS ปลอม

Author: ESET Research
Source:
https://www.welivesecurity.com/2019/10/03/casbaneiro-trojan-dangerous-cooking/
Translated by: Worapon H.

%d bloggers like this: