انتشار بدافزار Casbaneiro

به گزارش کارگروه امنیت سایبربان؛ به‌تازگی کارشناسان شرکت امنیتی ESET، خانواده جدیدی از تروجان‌های بانکی به نام Casbaneiro یا Metamorfo شناسایی کرده‌اند که ارزهای دیجیتال کاربران برزیلی و مکزیکی را هدف قرار می‌دهد. عملکرد این تروجان شباهت بسیاری به خانواده دیگری از تروجان‌های بانکی به نام Amavaldo دارد. این بدافزارها الگوریتم‌های رمزنگاری یکسانی داشته و از ابزارهای مخرب یکسانی برای ایمیل‌های فیشینگ استفاده می‌کنند. 

تروجان Casbaneiro همانند Amavaldo با استفاده از مهندسی اجتماعی از پنجره‌های اضافی برای فریب کاربران استفاده می‌کند که درنتیجه آن کاربر بلافاصله و بدون فکر تصمیم می‌گیرد. در چنین مواردی از به‌روزرسانی یک نرم‌افزار، تأیید کدهای امنیتی کارت‌های اعتباری یا درخواست‌های یک بانک بهره گرفته می‌شود.  

تروجان پس از آلوده سازی، دسترسی به سایت‌های بانکی را محدود کرده و ضربه‌های روی صفحه‌کلید را شناسایی و شبیه‌سازی می‌کند، همچنین می‌تواند برخی فایل‌ها را بارگیری و اجرا کرده و اسکرین شات بگیرد. تروجان Casbaneiro، کلیپ بورد کاربر را ردیابی کرده و چنانچه به داده‌های کیف پول دسترسی پیدا کند، آدرس گیرنده را با کیف‌پول‌های اپراتور خود جایگزین می‌کند.

گونه‌های بدافزار Casbaneiro از الگوریتم‌های پیچیده زیادی برای استتار کد، رمزگشایی فایل‌های دانلود شده و داده‌های پیکربندی استفاده می‌کنند. روش اصلی توزیع بدافزارهای Casbaneiro و Amavaldo، ارسال ایمیل‌های فیشینگ مخرب است. اپراتورهای این بدافزار همیشه سعی دارند دامنه و پورت سرور کنترل خود را درجاهای مختلف من‌جمله رکوردهای جعلی DNS، اسناد آنلاین Google Docs و حتی در وب‌سایت‌های اصلی و جعلی مؤسسات مختلف و توضیحات ویدئوهای یوتیوب با دقت مخفی کنند.