Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Хакеры Casbaneiro идут победным шествием сквозь ряды латиноамериканских банков

26/07/23

hack bank5-Jul-26-2023-10-10-41-7004-AM

Исследователи кибербезопасности недавно обнаружили, что киберпреступники, стоящие за семейством вредоносных программ Casbaneiro, которые активно используются для шпионажа в банковском секторе Латинской Америки, были замечены в использовании метода обхода контроля учётных записей (UAC) для получения полных административных привилегий на компьютерах с операционной системой Windows. Это передает Securitylab.

«Преступники по-прежнему сосредоточены на латиноамериканских финансовых учреждениях, но изменения в их методах представляют значительный риск для финансовых организаций в других странах», — говорится в отчёте компании Sygnia.

Casbaneiro, также известный как Metamorfo и Ponteiro — это в первую очередь банковский троян, который впервые появился в массовых спам-рассылках на электронную почту, нацеленных на латиноамериканский финансовый сектор в 2018 году.

В последних волнах атак заражение начинается с фишингового письма со ссылкой на HTML-файл, который перенаправляет жертву на загрузку вредоносного RAR-архива. Ранее эта же группировка злоумышленников использовала PDF-вложения с фоновой загрузкой ZIP-архивов.

Второе важное изменение касается использования пентестерского инструмента «fodhelper.exe» для обхода UAC и скрытного получения привилегий администратора.

Как сообщает Sygnia, в последней волне атак злоумышленники также создавали в системном разделе «мнимый» каталог «C:\Windows \system32» (в пути содержится лишний пробел) для копирования исполняемого файла fodhelper.exe.

«Возможно, злоумышленники развернули мнимый каталог, чтобы обойти обнаружение антивирусами или использовать её для применения DLL Sideloading в связке с библиотекой с цифровой подписью Microsoft для обхода UAC», — объяснили исследователи Sygnia.

За последние месяцы это уже третий общеизвестный случай использования злоумышленниками метода имитации доверенных каталогов в реальных атаках. Ранее хакеры прибегали к этой технике при распространении загрузчика DBatLoader и разнообразных троянов удалённого доступа, таких как Warzone RAT.

Темы:БанкиПреступлениятрояныЮжная АмерикаSygnia
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Рвение сотрудников часто вредит безопасности
    Вячеслав Касимов, Директор департамента информационной безопасности ПАО «Московский кредитный банк»
    Если организация защищена на техническом уровне, то злоумышленникам остается искать выходы на работников

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...