ESET, 1er éditeur européen en solutions de cybersécurité, continue de dévoiler les TTP (tactiques, techniques et procédures) mises en œuvre par les chevaux de Troie bancaires latino-américains. C’est dans ces circonstances que le pionnier de la protection antivirus a découvert la famille de logiciels malveillants Casbaneiro. En effet, dans le cadre du projet de recherche ayant permis de mettre au jour les malwares Amavaldo, l’équipe de recherche d’ESET a identifié des points communs avec Casbaneiro, les deux familles s’appuyant sur le même algorithme de chiffrement et sur un e-mail similaire.
Les chevaux de Troie Casbaneiro misent sur l’ingénierie sociale pour tromper leurs victimes et utilisent de faux formulaires et fenêtres contextuelles, tout comme Amavaldo. Les attaques visent généralement à persuader la cible qu’il est urgent d’agir, que ce soit pour procéder à une (fausse) mise à jour logicielle ou pour vérifier des informations relatives à une carte de crédit ou un compte bancaire.
Une fois l’appareil infiltré, le logiciel installe une porte dérobée pour prendre des captures d’écran, restreindre l’accès à divers sites bancaires et enregistrer les frappes sur le clavier. En outre, il permet de dérober des cryptomonnaies en cherchant des données de portefeuilles de cryptomonnaies dans le contenu du presse-papiers. Lorsque les recherches sont fructueuses, les informations trouvées sont remplacées par celles du portefeuille de cryptomonnaie de l’attaquant.
La famille de logiciels malveillants Casbaneiro se caractérise par son utilisation de nombreux algorithmes de chiffrement pour masquer des chaînes dans les fichiers exécutables et pour déchiffrer les contenus téléchargés ainsi que les données de configuration. Tout comme les malwares Amavaldo, les chevaux de Troie Casbaneiro se propagent grâce à un e-mail frauduleux.
Fait notable, les pirates ne ménagent pas leurs efforts pour dissimuler le port et le domaine du serveur C&C, ce dernier ayant déjà été retrouvé dans de fausses entrées DNS, des documents stockés en ligne sur Google Docs ou de faux sites Web imitant ceux d’institutions reconnues. Dans certains cas, des domaines de serveurs C&C ont même été chiffrés et cachés dans des sites Web légitimes, notamment dans des descriptions de vidéos sur YouTube.
La famille de logiciels malveillants Casbaneiro cible principalement les applications bancaires brésiliennes et mexicaines.
Pour en savoir plus sur cette menace, lisez l’article « Casbaneiro: Dangerous cooking with a secret ingredient » sur WeLiveSecurity.
CONTACT PRESSE
Darina SANTAMARIA 01 86 27 00 39 - darina.j@eset-nod32.fr