Descoberto novo trojan bancário para roubar criptomoedas

A Eset tem desevendado TTPs - táticas, técnicas e procedimentos – dos trojans bancários a atuar na América Latina e, no processo, descobriu a família Casbaneiro. Como parte do projeto de investigação que identificou a família de malware Amavaldo, a equipa de investigação da Eset também descobriu que a Casbaneiro partilhava algumas funcionalidades; ambas as famílias de malware usam o mesmo algoritmo criptográfico e estão a distribuir uma ferramenta de e-mail com aparência semelhante.

A família Casbaneiro também usa engenharia social para enganar as vítimas, imitando o uso de inquéritos e janelas pop-up da Amavaldo. Estes ataques concentram-se geralmente em convencer a vítima a executar determinadas ações supostamente urgentes ou necessárias, como instalar uma atualização de software ou verificar informações do cartão de crédito ou conta bancária.

Depois de se infiltrar no dispositivo da vítima, o Casbaneiro utiliza comandos de backdoor para fazer screenshots, restringir o acesso a vários sites bancários e registar as teclas digitadas. Além disso, o Casbaneiro é usado para roubar criptomoedas através de uma técnica que monitoriza o conteúdo da área de transferência para dados da carteira de criptomoedas. Se esses dados forem encontrados, o malware substitui os dados pela carteira de criptomoeda do hacker.

A família de malware Casbaneiro pode ser caracterizada pelo uso de vários algoritmos criptográficos, usados para ocultar strings de caracteres nos seus executáveis e para desencriptar payloads e dados de configuração descarregados. O vetor inicial de Casbaniero é um email malicioso, que é o mesmo método usado pelo Amavaldo.

Um dos aspetos mais interessantes do Casbaneiro é um esforço dos responsáveis para ocultar o domínio e a porta do servidor C&C. O servidor C&C foi escondido em vários lugares, incluindo entradas falsas de DNS, incorporadas em documentos on-line armazenados no Google Docs ou incorporadas em sites falsos que imitam instituições legítimas. Em alguns casos, os domínios do servidor C&C foram encriptados e ocultados em sites legítimos, principalmente nas descrições de vários vídeos armazenados no YouTube.