martedì 5 novembre 2019

ESET, trojan ruba dati bancari sfruttando YouTube: ecco Casbaneiro


Il malware si nasconde all’interno di video di ricette di cucina o a tema calcistico. I ricercatori di ESET® hanno individuato Casbaneiro, un trojan bancario progettato per ingannare le vittime, proponendo la visualizzazione di finte finestre popup che tentano di convincere i malcapitati a inserire dati sensibili con il fine di sottrarli ed utilizzarli in maniera fraudolenta. La particolarità di questo malware sta nel fatto che sfrutta illegittimamente YouTube per diffondere gli indirizzi dei suoi server C&C, nascondendosi in particolare all’interno di video con ricette di cucina o relativi al calcio popolare.

Nello specifico, ogni video corrotto contiene una descrizione, alla fine della quale c’è un collegamento a un falso URL di Facebook o Instagram in cui si nasconde il collegamento al dominio del server di Comando e Controllo (C&C). Ciò che rende pericolosa questa tecnica è la facilità di ingannare le vittime senza suscitare alcun sospetto: la connessione a YouTube infatti non è considerata insolita e anche se il video viene esaminato, il collegamento alla fine della descrizione potrebbe facilmente passare inosservato. Inoltre, i criminali informatici distribuiscono Casbaneiro utilizzando eseguibili dannosi mascherati da file che dovrebbero spingere a installare o aggiornare applicazioni legittime.

Le funzionalità backdoor di Casbaneiro sono quelle tipiche dei banking trojan e includono l’acquisizione di schermate e l’invio al proprio server C&C, simulazione di azioni del mouse e della tastiera e registrazione di sequenze di tasti (keylogger di tipo software), oltre al download e installazione dei propri aggiornamenti, limitazione dell’accesso a vari siti Web e avviamento di altri eseguibili. Casbaneiro, noto anche come Metamorfo, raccoglie numerose informazioni sulle sue vittime tra cui l’elenco dei prodotti antivirus installati, la versione del sistema operativo utilizzato, il nome utente e quello del computer preso di mira. Casbaneiro può anche provare a sottrarre le criptovalute (es. Bitcoin) della vittima. 


Lo fa verificando il contenuto degli appunti e se i dati sembrano essere un portafoglio di criptovaluta, li sostituisce con quelli dell’attaccante. Questa tecnica non è nuova essendo già stata utilizzata da altri malware in passato. Anche il famigerato trojan bancario BackSwap, individuato a marzo 2018, lo ha implementato nelle sue prime fasi. Casbaneiro può essere utilizzato per rubare vari account, ad esempio e-mail e social network. Il trojan può essere utilizzato anche per  installare malware aggiuntivi come ransomware, minatori di criptovaluta e altri software indesiderati. Le persone che hanno i loro computer infettati da Casbaneiro potrebbero non essere in grado di accedere a diversi siti Internet.

Il malware è particolarmente diffuso in America Latina, soprattutto in Brasile e Messico.  Secondo i ricercatori di ESET®, future versioni del malware potrebbero essere destinate in modo specifico a paesi con un forte interesse verso la cucina e con una radicata tradizione culinaria, Italia compresa. La rimozione di Casbaneiro è un compito particolarmente complicato, di solito è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware si consiglia di utilizzare ESET Online Scanner (EOS). Si tratta di un software capace di individuare virus, worm, trojan e ogni altra minaccia senza la necessità di disattivare l’antivirus principale.

L’applicazione è basata su ThreatSense® che fornisce scansioni antivirus complete tramite browser Internet. EOS è completamente indipendente dal browser, il che significa che può essere facilmente eseguita da tutti i browser Web conosciuti. Inoltre, l’installazione è possibile senza i privilegi di amministratore, il che rende ancora più semplice la scansione e la pulizia dei computer dal malware. Il software consente la scansione delle posizioni di avvio automatico e il settore di avvio per le minacce nascoste; rimuove il malware che si trova nel registro di sistema; se necessario, ESET Online Scanner è in grado di contrassegnare il malware più persistente per la pulizia automatica dopo il riavvio.



Nessun commento:

Posta un commento