Eset виявив банківський троян, який використовує Youtube для крадіжки криптовалюти
Eset виявив банківський троян, який використовує Youtube для крадіжки криптовалюти
Eset вивчила нову родину банківських троянів Casbaneiro. Шкідлива програма полювала криптовалюту бразильських і мексиканських користувачів.
Під час дослідження експерти Eset виявили, що Casbaneiro має схожу з іншим сімейством банківських троянів – Amavaldo – функціональність. Шкідливі програми застосовують той самий криптографічний алгоритм і поширюють схожу шкідливу утиліту для пошти.
Як і Amavaldo, троян Casbaneiro використовує спливаючі вікна та форми для обману жертв. Такі методи соціальної інженерії спрямовані на первинні емоції — людину терміново, без роздумів змушують ухвалити рішення. Приводом може бути оновлення ПЗ, верифікація кредитної картки або запит із банку.
Після зараження Casbaneiro обмежує доступ до різних банківських сайтів, а також слідкує за натисканням клавіш і робить знімки екрана. Крім того, троян відстежує буфер обміну — якщо шкідливість бачить особисті дані криптовалютного гаманця, то замінює адресу одержувача на гаманець шахрая.
Сімейство Casbaneiro застосовує безліч складних алгоритмів для маскування коду, розшифровування завантажених компонентів та даних конфігурацій. Основний спосіб поширення Casbaniero - шкідливе фішингове розсилання, як і у Amavaldo.
Особливістю трояна стало те, що оператори Casbaneiro старанно намагалися приховати домен та порт C&C-сервера. Його ховали в різних місцях — у підроблених записах DNS, в онлайн-документах Google Docs і навіть на фальшивих сайтах різних установ. Цікаво, що іноді зловмисникам вдавалося сховати сліди сервера, що управляє, і на офіційних сайтах, а також в описах відео на Youtube.
