Uočeno je da finansijski motivisani hakeri koji stoje iza porodice malicioznog softvera za bankarstvo Casbaneiro koriste tehniku zaobilaženja kontrole korisničkog računa (UAC) kako bi dobili pune administrativne privilegije na mašini, što je znak da haker razvija svoju taktiku kako bi izbjegao otkrivanje i izvršio maliciozni kod na kompromitovanoj imovini.
“Oni su još uvijek u velikoj mjeri fokusirani na latinoameričke finansijske institucije, ali promjene u njihovim tehnikama predstavljaju značajan rizik i za multi-regionalne finansijske organizacije”, navodi Sygnia u saopštenju objavljenom za The Hacker News.
Casbaneiro, također poznat kao Metamorfo i Ponteiro, najpoznatiji je po svom bankarskom trojancu, koji se prvi put pojavio u masovnim kampanjama neželjene e-pošte usmjerene na latinoamerički finansijski sektor 2018.
Lanci zaraze obično počinju sa phishing e-poštom koja ukazuje na PDF prilog koji je zarobljen u minu koji, kada se pokrene, aktivira niz koraka koji rezultiraju uvođenjem bankarskog malicioznog softvera, zajedno sa skriptama koje koriste tehnike života izvan zemlje (LotL) za otisak prsta na hostu i prikupljanje sistemskih metapodataka.
U ovoj fazi je također preuzeta binarna datoteka pod nazivom Horabot koja je dizajnirana da interno širi infekciju na druge nesuđene zaposlenike organizacije koja je prekršena.
“Ovo dodaje kredibilitet poslanoj e-pošti, budući da nema očiglednih anomalija u zaglavljima e-pošte (sumnjivi vanjski domeni), koje bi obično pokrenule sigurnosna rešenja e-pošte da djeluju i ublaže”, rekla je kompanija za kibernetičku sigurnost u prethodnom izvještaju objavljenom u aprilu 2022. godine. “E-poruke uključuju isti PDF prilog koji se koristi za kompromitaciju prethodnog lanca žrtve.”, i execu.
Ono što se promijenilo u nedavnim talasima napada je da napad pokreće phishing email sa vezom na HTML datoteku koja preusmjerava metu na preuzimanje RAR datoteke, što je odstupanje od upotrebe malicioznih PDF priloga sa vezom za preuzimanje u ZIP datoteku.
Druga velika promjena u načinu rada odnosi se na korištenje fodhelper.exe za postizanje UAC zaobilaženja i postizanje visokog nivoa integriteta izvršenja.
Sygnia je također primijetila da su napadači Casbaneiro-a kreirali lažni folder na C:\Windows[space]\system32 kako bi kopirali izvršnu datoteku fodhelper.exe, iako se kaže da posebno napravljena putanja nikada nije korištena za upad.
“Moguće je da je napadač postavio lažnu fasciklu da zaobiđe AV detekciju ili da iskoristi tu fasciklu za bočno učitavanje DLL-ova sa binarnim datotekama koje je potpisao Microsoft za zaobilaženje UAC-a”, saopštila je kompanija.
Ovaj razvoj označava treći put da je lažni pristup pouzdanih foldera otkriven u praksi posljednjih mjeseci, s metodom koja se koristi u kampanjama koje isporučuju učitavač malicioznog softvera pod nazivom DBatLoader, kao i trojance za daljinski pristup poput Warzone RAT (aka Ave Maria).
Izvor: The Hacker News