Следующая новость
Предыдущая новость

Банкер Casbaneiro использовал YouTube для кражи криптовалюты

11.10.2019 17:53
Банкер Casbaneiro использовал YouTube для кражи криптовалюты

Рекомендуем почитать:

Xakep #245. Нейросети

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании ESET изучили новое семейство банковских троянов Casbaneiro (также известное как Metamorfo). Малварь охотится за криптовалютой бразильских и мексиканских пользователей.

Исследователи пишут, что по функциональности Casbaneiro весьма похож на другое семейство банковской малвари, Amavaldo. Вредоносные программы применяют один и тот же криптографический алгоритм и распространяют похожую вредоносную утилиту для почты.

Как и Amavaldo, троян Casbaneiro использует всплывающие окна и формы для обмана своих жертв. Такие методы социальной инженерии направлены на первичные эмоции — человека срочно, без раздумий заставляют принять решение. Поводом может быть обновление ПО, верификация кредитной карты или запрос из банка.

После заражения Casbaneiro ограничивает доступ к различным банковским сайтам, а также следит за нажатием клавиш, эмулирует нажатия, может загружать и выполнять другие исполняемые файлы, а также делает снимки экрана. Кроме того, троян отслеживает буфер обмена пользователя — если малварь видит данные криптовалютного кошелька, то подменяет адрес получателя на кошелек операторов малвари.

Семейство Casbaneiro применяет множество сложных алгоритмов для маскировки кода, расшифровки скачанных компонентов и данных конфигураций. Основной способ распространения Casbaniero — вредоносная фишинговая рассылка, как и у Amavaldo.

Особенностью трояна стало то, что операторы Casbaneiro старались тщательно скрыть домен и порт своего управляющего сервера. Его прятали в самых разных местах — в поддельных записях DNS, в онлайн-документах Google Docs и даже на фальшивых сайтах разных учреждений. Интересно, что иногда злоумышленникам удавалось спрятать следы управляющего сервера и на легитимных сайтах, а также в описаниях видео на YouTube.

Банкер Casbaneiro использовал YouTube для кражи криптовалюты Банкер Casbaneiro использовал YouTube для кражи криптовалюты

Исследователи обнаружили два разных аккаунта на YouTube (один был сосредоточен на кулинарных рецептах, а другой — на футболе), использовавшихся для этих целей. Каждое видео на этих каналах содержит описание, в конце которого содержится ссылка на фейковый URL-адрес Facebook или Instagram. Домен управляющего сервера злоумышленников хранится в этой ссылке: ключ помещен в начале зашифрованных данных, а порт жестко закодирован в бинарнике.

Источник

Последние новости