Chevaux de Troie bancaires : ESET découvre que la famille de malwares Casbaneiro est utilisée pour dérober des cryptomonnaies en Amérique latine et se sert de YouTube pour son C&C

ESET, 1er éditeur européen en solutions de cybersécurité, continue de dévoiler les TTP (tactiques, techniques et procédures) mises en œuvre par les chevaux de Troie bancaires latino-américains. C’est dans ces circonstances que le pionnier de la protection antivirus a découvert la famille de logiciels malveillants Casbaneiro. En effet, dans le cadre du projet de recherche ayant permis de mettre au jour les malwares Amavaldo, l’équipe de recherche d’ESET a identifié des points communs avec Casbaneiro, les deux familles s’appuyant sur le même algorithme de chiffrement et sur un e-mail similaire.

Les chevaux de Troie Casbaneiro misent sur l’ingénierie sociale pour tromper leurs victimes et utilisent de faux formulaires et fenêtres contextuelles, tout comme Amavaldo. Les attaques visent généralement à persuader la cible qu’il est urgent d’agir, que ce soit pour procéder à une (fausse) mise à jour logicielle ou pour vérifier des informations relatives à une carte de crédit ou un compte bancaire.

Une fois l’appareil infiltré, le logiciel installe une porte dérobée pour prendre des captures d’écran, restreindre l’accès à divers sites bancaires et enregistrer les frappes sur le clavier. En outre, il permet de dérober des cryptomonnaies en cherchant des données de portefeuilles de cryptomonnaies dans le contenu du presse-papiers. Lorsque les recherches sont fructueuses, les informations trouvées sont remplacées par celles du portefeuille de cryptomonnaie de l’attaquant.

La famille de logiciels malveillants Casbaneiro se caractérise par son utilisation de nombreux algorithmes de chiffrement pour masquer des chaînes dans les fichiers exécutables et pour déchiffrer les contenus téléchargés ainsi que les données de configuration. Tout comme les malwares Amavaldo, les chevaux de Troie Casbaneiro se propagent grâce à un e-mail frauduleux.

Fait notable, les pirates ne ménagent pas leurs efforts pour dissimuler le port et le domaine du serveur C&C, ce dernier ayant déjà été retrouvé dans de fausses entrées DNS, des documents stockés en ligne sur Google Docs ou de faux sites Web imitant ceux d’institutions reconnues. Dans certains cas, des domaines de serveurs C&C ont même été chiffrés et cachés dans des sites Web légitimes, notamment dans des descriptions de vidéos sur YouTube.

La famille de logiciels malveillants Casbaneiro cible principalement les applications bancaires brésiliennes et mexicaines.

Pour en savoir plus sur cette menace, lisez l’article « Casbaneiro: Dangerous cooking with a secret ingredient » sur WeLiveSecurity.

CONTACT PRESSE
Darina SANTAMARIA 01 86 27 00 39  - darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/fr  Blog : www.welivesecurity.com/fr/