Новости Хакеры Casbaneiro идут по головам латиноамериканских банков

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Контроль учётных записей Windows больше не может сдержать натиск хитрых преступников.


szl84sknv8tiv9iag8tfbiqc8svr1hkc.jpg


Исследователи кибербезопасности недавно обнаружили, что киберпреступники, стоящие за семейством вредоносных программ Casbaneiro, которые активно используются для шпионажа в банковском секторе Латинской Америки, были замечены в использовании метода обхода контроля учётных записей ( UAC ) для получения полных административных привилегий на компьютерах с операционной системой Windows.

«Преступники по-прежнему сосредоточены на латиноамериканских финансовых учреждениях, но изменения в их методах представляют значительный риск для финансовых организаций в других странах», — говорится в Для просмотра ссылки Войди или Зарегистрируйся компании Sygnia .

Casbaneiro, также известный как Metamorfo и Ponteiro — это в первую очередь банковский троян, который впервые появился в массовых спам-рассылках на электронную почту, нацеленных на латиноамериканский финансовый сектор в 2018 году.

В последних волнах атак заражение начинается с фишингового письма со ссылкой на HTML -файл, который перенаправляет жертву на загрузку вредоносного RAR-архива. Ранее эта же группировка злоумышленников использовала PDF -вложения с фоновой загрузкой ZIP-архивов.

Второе важное изменение касается использования пентестерского инструмента « Для просмотра ссылки Войди или Зарегистрируйся » для обхода UAC и скрытного получения привилегий администратора.

Как сообщает Sygnia, в последней волне атак злоумышленники также создавали в системном разделе «мнимый» каталог «C:\Windows \system32» (в пути содержится лишний пробел) для копирования исполняемого файла fodhelper.exe.

«Возможно, злоумышленники развернули мнимый каталог, чтобы обойти обнаружение антивирусами или использовать её для применения DLL Sideloading в связке с библиотекой с цифровой подписью Microsoft для обхода UAC», — объяснили исследователи Sygnia.

За последние месяцы это уже третий общеизвестный случай использования злоумышленниками метода имитации доверенных каталогов в реальных атаках. Ранее хакеры прибегали к этой технике при распространении загрузчика DBatLoader и разнообразных троянов удалённого доступа, таких как Warzone RAT.
 
Источник новости
www.securitylab.ru

Похожие темы