2019-10-07

SEGURANÇA

Descoberto novo trojan bancário para roubar criptomoedas

A Eset descobriu na América Latina um trojan bancário que está a roubar criptmoedas. O trojan pertence à família Casbaneiro

Descoberto novo trojan bancário para roubar criptomoedas

A Eset tem desevendado TTPs - táticas, técnicas e procedimentos – dos trojans bancários a atuar na América Latina e, no processo, descobriu a família Casbaneiro. Como parte do projeto de investigação que identificou a família de malware Amavaldo, a equipa de investigação da Eset também descobriu que a Casbaneiro partilhava algumas funcionalidades; ambas as famílias de malware usam o mesmo algoritmo criptográfico e estão a distribuir uma ferramenta de e-mail com aparência semelhante.

A família Casbaneiro também usa engenharia social para enganar as vítimas, imitando o uso de inquéritos e janelas pop-up da Amavaldo. Estes ataques concentram-se geralmente em convencer a vítima a executar determinadas ações supostamente urgentes ou necessárias, como instalar uma atualização de software ou verificar informações do cartão de crédito ou conta bancária.

Depois de se infiltrar no dispositivo da vítima, o Casbaneiro utiliza comandos de backdoor para fazer screenshots, restringir o acesso a vários sites bancários e registar as teclas digitadas. Além disso, o Casbaneiro é usado para roubar criptomoedas através de uma técnica que monitoriza o conteúdo da área de transferência para dados da carteira de criptomoedas. Se esses dados forem encontrados, o malware substitui os dados pela carteira de criptomoeda do hacker.

A família de malware Casbaneiro pode ser caracterizada pelo uso de vários algoritmos criptográficos, usados para ocultar strings de caracteres nos seus executáveis e para desencriptar payloads e dados de configuração descarregados. O vetor inicial de Casbaniero é um email malicioso, que é o mesmo método usado pelo Amavaldo.

Um dos aspetos mais interessantes do Casbaneiro é um esforço dos responsáveis para ocultar o domínio e a porta do servidor C&C. O servidor C&C foi escondido em vários lugares, incluindo entradas falsas de DNS, incorporadas em documentos on-line armazenados no Google Docs ou incorporadas em sites falsos que imitam instituições legítimas. Em alguns casos, os domínios do servidor C&C foram encriptados e ocultados em sites legítimos, principalmente nas descrições de vários vídeos armazenados no YouTube.

ARTIGOS RELACIONADOS

Prio Energy adota Intercept X da Sophos para melhorar segurança
NEGÓCIOS

Prio Energy adota Intercept X da Sophos para melhorar segurança

LER MAIS

Mobilidade: chave da empresa moderna e desafio da cibersegurança
A FUNDO

Mobilidade: chave da empresa moderna e desafio da cibersegurança

LER MAIS

Impressão: quatro riscos de cibersegurança
SEGURANÇA

Impressão: quatro riscos de cibersegurança

LER MAIS

Recomendado pelos leitores

Experiência do utilizador é fundamental na implementação de SASE
SEGURANÇA

Experiência do utilizador é fundamental na implementação de SASE

LER MAIS

Microsoft lança ferramenta de red team para IA generativa
SEGURANÇA

Microsoft lança ferramenta de red team para IA generativa

LER MAIS

Empresas portuguesas já utilizam soluções de cibersegurança com IA
SEGURANÇA

Empresas portuguesas já utilizam soluções de cibersegurança com IA

LER MAIS

IT CHANNEL Nº 105 MARÇO 2024

IT CHANNEL Nº 105 MARÇO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.