Il trojan bancario Casbaneiro, noto come Metamofro o Ponteiro, è attivo online dall’ormai 2018, con ampia diffusione in Sud America (ma non solo).
Diffuso attraverso massicce campagne di e-mail spam, questo malware ha subito una mutazione di recente, proponendosi come uno degli agenti malevoli potenzialmente più pericolosi. Si parla, infatti, dell’introduzione di una particolare tecnica di bypass del controllo dell’account utente (UAC).
Questa consente a Casbaneiro di ottenere la totalità dei privilegi amministrativi di un dispositivo, evitando il possibile rilevamento dell’esecuzione di codice dannoso.
Sygnia (società di sicurezza informatica), in una dichiarazione rilasciata a The Hacker News, ha affermato come i cybercriminali coinvolti in questo progetto “sono ancora fortemente concentrati sulle istituzioni finanziarie latinoamericane, ma i cambiamenti nelle loro tecniche rappresentano un rischio significativo anche per le organizzazioni finanziarie multiregionali“.
Il trojan bancario Casbaneiro evolve: un potenziale pericolo anche per l’Europa?
L’infezione di una macchina da parte di Casbaneiro inizia con un’e-mail di phishing con tanto di allegato malevolo. Tale file, una volta aperto, attiva una serie di passaggi che culminano nella distribuzione del malware, insieme a script che sfruttano le tecniche per rilevare l’host e raccogliere metadati di sistema.
Ciò che rende il trojan ancora più efficace è il fatto che esso non presenta alcuni “indizi” che possono mettere in allarme la vittima “non ci sono anomalie evidenti nelle intestazioni dell’e-mail o domini esterni sospetti, che in genere farebbero scattare le soluzioni di sicurezza e-mail per agire e mitigare” ha affermato Sygnia in un precedente rapporto pubblicato nell’aprile 2022.
Ciò che è cambiato nelle recenti ondate di attacco è che ora questo viene avviato da un’e-mail di spear-phishing incorporata con un collegamento a un file HTML che reindirizza l’obiettivo per scaricare un file RAR, una deviazione dall’uso di allegati PDF dannosi con un collegamento per il download in un file ZIP.
Sygnia ha affermato di aver anche osservato la creazione di una cartella C:\Windows[SPAZIO]\system32 per copiare l’eseguibile fodhelper.exe, sebbene sembri che questo percorso e file non siano mai stato utilizzati durante l’operazione intrusiva.
A tal proposito, la società ipotizza come sia “possibile che l’attaccante abbia distribuito la cartella fittizia per aggirare i rilevamenti AV o per sfruttare quella cartella per il caricamento laterale delle DLL con binari firmati da Microsoft per il bypass UAC“.