Банковский троян Casbaneiro охотится на криптокошельки
Компания Eset предупреждает о появлении нового банковского трояна семейства Casbaneiro. В частности, вредоносная программа похищает банковские данные жертв с помощью поддельных всплывающих окон и фальшивых форм.
После попадания на устройство жертвы Casbaneiro может делать снимки экрана и отправлять их на командный сервер, а также имитировать действия мышки и клавиатуры. Кроме этого, угроза позволяет ограничивать доступ к различным банковским веб-сайтам и считывать нажатия клавиш.
Одной из главных возможностей Casbaneiro является кража криптовалюты с помощью техники отслеживания наличия данных криптовалютных кошельков в буфере обмена. В случае обнаружения такой информации злоумышленники заменяют ее на данные собственного криптовалютного кошелька. Кроме этого, вредоносная программа использует несколько криптографических алгоритмов для скрытия строк в своих исполняемых файлах, а также для расшифровки загружаемого компонента и данных конфигурации.
Стоит отметить определенное сходство с ранее выявленным семейством банковских троянов Amavaldo. Трояны имеют подобный функционал и используют методы социальной инженерии. В частности, обе вредоносные программы пытаются убедить жертву ввести персональную информацию в фальшивую форму якобы для срочной проверки данных банковской карты или обновления программного обеспечения. Также подобно трояну Amavaldo, начальным вектором заражения устройств пользователей является вредоносное электронное письмо.
В отличие от ранее обнаруженного трояна, Casbaneiro использует интересный подход к заражению устройств жертв, а именно скрытие домена и порта командного сервера (C&C) в разных местах. В частности, это были фальшивые записи DNS, встроенные в онлайн-документы Google Docs, а также поддельные веб-страницы, замаскированные под известные ресурсы. В некоторых случаях домены C&C были зашифрованы и скрытые на легитимных сайтах, например, при описании некоторых видео на YouTube.
