ESET, éditeur européen de solutions de cybersécurité, a dévoilé les tactiques, techniques et procédures mises en œuvre par la famille de logiciels malveillants Casbaneiro pour dérober des crypto-monnaies.
Les chevaux de Troie Casbaneiro misent sur l’ingénierie sociale pour tromper leurs victimes et utilisent de faux formulaires et fenêtres contextuelles. Les attaques visent généralement à persuader la cible qu’il est urgent d’agir, que ce soit pour procéder à une (fausse) mise à jour logicielle ou pour vérifier des informations relatives à une carte de crédit ou un compte bancaire.
Une fois l’appareil infiltré, le logiciel installe une porte dérobée pour prendre des captures d’écran, restreindre l’accès à divers sites bancaires et enregistrer les frappes sur le clavier. En outre, il permet de dérober des cryptomonnaies en cherchant des données de portefeuilles de cryptomonnaies dans le contenu du presse-papiers. Lorsque les recherches sont fructueuses, les informations trouvées sont remplacées par celles du portefeuille de cryptomonnaie de l’attaquant.
La famille de logiciels malveillants Casbaneiro se caractérise par son utilisation de nombreux algorithmes de chiffrement pour masquer des chaînes dans les fichiers exécutables et pour déchiffrer les contenus téléchargés ainsi que les données de configuration. Elle se propage grâce à un e-mail frauduleux.
Fait notable, les pirates ne ménagent pas leurs efforts pour dissimuler le port et le domaine du serveur C&C, ce dernier ayant déjà été retrouvé dans de fausses entrées DNS, des documents stockés en ligne sur Google Docs ou de faux sites Web imitant ceux d’institutions reconnues. Dans certains cas, des domaines de serveurs C&C ont même été chiffrés et cachés dans des sites Web légitimes, notamment dans des descriptions de vidéos sur YouTube.
La famille de logiciels malveillants Casbaneiro cible principalement les applications bancaires brésiliennes et mexicaines.
Communiqué