Хакеры Casbaneiro идут по головам латиноамериканских банков

Casbaneiro Metamorfo Ponteiro UAC DLL Sideloading HTML PDF Sygnia кибератака банковский сектор Латинская Америка
Хакеры Casbaneiro идут по головам латиноамериканских банков
Casbaneiro Metamorfo Ponteiro UAC DLL Sideloading HTML PDF Sygnia кибератака банковский сектор Латинская Америка

Контроль учётных записей Windows больше не может сдержать натиск хитрых преступников.

image

Исследователи кибербезопасности недавно обнаружили, что киберпреступники, стоящие за семейством вредоносных программ Casbaneiro, которые активно используются для шпионажа в банковском секторе Латинской Америки, были замечены в использовании метода обхода контроля учётных записей (UAC) для получения полных административных привилегий на компьютерах с операционной системой Windows.

«Преступники по-прежнему сосредоточены на латиноамериканских финансовых учреждениях, но изменения в их методах представляют значительный риск для финансовых организаций в других странах», — говорится в сегодняшнем отчёте компании Sygnia.

Casbaneiro, также известный как Metamorfo и Ponteiro — это в первую очередь банковский троян, который впервые появился в массовых спам-рассылках на электронную почту, нацеленных на латиноамериканский финансовый сектор в 2018 году.

В последних волнах атак заражение начинается с фишингового письма со ссылкой на HTML-файл, который перенаправляет жертву на загрузку вредоносного RAR-архива. Ранее эта же группировка злоумышленников использовала PDF-вложения с фоновой загрузкой ZIP-архивов.

Второе важное изменение касается использования пентестерского инструмента « fodhelper.exe » для обхода UAC и скрытного получения привилегий администратора.

Как сообщает Sygnia, в последней волне атак злоумышленники также создавали в системном разделе «мнимый» каталог «C:\Windows \system32» (в пути содержится лишний пробел) для копирования исполняемого файла fodhelper.exe.

«Возможно, злоумышленники развернули мнимый каталог, чтобы обойти обнаружение антивирусами или использовать её для применения DLL Sideloading в связке с библиотекой с цифровой подписью Microsoft для обхода UAC», — объяснили исследователи Sygnia.

За последние месяцы это уже третий общеизвестный случай использования злоумышленниками метода имитации доверенных каталогов в реальных атаках. Ранее хакеры прибегали к этой технике при распространении загрузчика DBatLoader и разнообразных троянов удалённого доступа, таких как Warzone RAT.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Гигабитный интернет от Frontier «превратился в тыкву» после атаки хакеров

World-Check взломан: грязные секреты мировых элит скоро всплывут наружу

IT-профессионалы на мушке: бэкдор MadMxShell прячется в легитимных сетевых инструментах

Хакеры Anonymous утверждают, что взломали IT-системы армии обороны Израиля

Scaly Wolf завалила атаку из-за банальной ошибки

Работа 380 лабораторий Synlab в Италии парализована после мощной кибератаки

CDN как оружие: CoralRaider показала новые методы кражи аккаунтов и криптовалюты

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе

Яркость на максимум: огни британского Лестера ослепляют местных жителей