I ricercatori di ESET hanno individuato Casbaneiro, un trojan bancario progettato per ingannare le vittime, proponendo la visualizzazione di finte finestre popup che tentano di convincere i malcapitati a inserire dati sensibili con il fine di sottrarli ed utilizzarli in maniera fraudolenta.<\/p>\n
<\/p>\n
La particolarit\u00e0 di questo malware sta nel fatto che sfrutta illegittimamente YouTube per diffondere gli indirizzi dei suoi server C&C, <\/strong>nascondendosi in particolare all\u2019interno di video con ricette di cucina o relativi al calcio. Nello specifico, ogni video corrotto contiene una descrizione, alla fine della quale c’\u00e8 un collegamento a un falso URL di Facebook o Instagram in cui si nasconde il collegamento al dominio del server C&C. <\/strong>Ci\u00f2 che rende pericolosa questa tecnica \u00e8 la facilit\u00e0 di ingannare le vittime senza suscitare alcun sospetto: la connessione a YouTube infatti non \u00e8 considerata insolita e anche se il video viene esaminato, il collegamento alla fine della descrizione potrebbe facilmente passare inosservato.<\/strong><\/p>\n \u00a0<\/strong><\/p>\n Le funzionalit\u00e0 backdoor di Casbaneiro sono quelle tipiche dei banking trojan e includono l\u2019acquisizione di schermate e l\u2019invio al proprio server C&C, simulazione di azioni del mouse e della tastiera e registrazione di sequenze di tasti, oltre al download e installazione dei propri aggiornamenti, limitazione dell’accesso a vari siti Web e avviamento di altri eseguibili.<\/p>\n Casbaneiro, noto anche come Metamorfo, raccoglie numerose informazioni sulle sue vittime tra cui l\u2019elenco dei prodotti antivirus installati, la versione del sistema operativo utilizzato, il nome utente e quello del computer preso di mira.<\/p>\n Il malware \u00e8 particolarmente diffuso in America Latina, soprattutto in Brasile e Messico.<\/p>\nCasbaneiro pu\u00f2 anche provare a sottrarre le criptovalute della vittima. Lo fa verificando il contenuto degli appunti e se i dati sembrano essere un portafoglio di criptovaluta, li sostituisce con quelli dell’attaccante. Questa tecnica non \u00e8 nuova essendo gi\u00e0 stata utilizzata da altri malware in passato. Anche il famigerato trojan bancario BackSwap lo ha implementato nelle sue prime fasi.<\/h1>\n