Исследователи кибербезопасности недавно обнаружили, что киберпреступники, стоящие за семейством вредоносных программ Casbaneiro, которые активно используются для шпионажа в банковском секторе Латинской Америки, были замечены в использовании метода обхода контроля учётных записей (UAC) для получения полных административных привилегий на компьютерах с операционной системой Windows.
“Преступники по-прежнему сосредоточены на латиноамериканских финансовых учреждениях, но изменения в их методах представляют значительный риск для финансовых организаций в других странах”, – говорится в сегодняшнем отчёте компании Sygnia.
Casbaneiro, также известный как Metamorfo и Ponteiro – это в первую очередь банковский троян, который впервые появился в массовых спам-рассылках на электронную почту, нацеленных на латиноамериканский финансовый сектор в 2018 году.
В последних волнах атак заражение начинается с фишингового письма со ссылкой на HTML-файл, который перенаправляет жертву на загрузку вредоносного RAR-архива. Ранее эта же группировка злоумышленников использовала PDF-вложения с фоновой загрузкой ZIP-архивов.
Второе важное изменение касается использования пентестерского инструмента ” fodhelper.exe ” для обхода UAC и скрытного получения привилегий администратора.
Как сообщает Sygnia, в последней волне атак злоумышленники также создавали в системном разделе “мнимый” каталог “C:Windows system32” (в пути содержится лишний пробел) для копирования исполняемого файла fodhelper.exe.
“Возможно, злоумышленники развернули мнимый каталог, чтобы обойти обнаружение антивирусами или использовать её для применения DLL Sideloading в связке с библиотекой с цифровой подписью Microsoft для обхода UAC”, – объяснили исследователи Sygnia.
За последние месяцы это уже третий общеизвестный случай использования злоумышленниками метода имитации доверенных каталогов в реальных атаках. Ранее хакеры прибегали к этой технике при распространении загрузчика DBatLoader и разнообразных троянов удалённого доступа, таких как Warzone RAT.