Casbaneiro木马的最新攻击技术

主要观察重点

• Casbaneiro木马的攻击者采用了新的技术，目标扩展到多个地区的金融机构。
• 最近的攻击中使用了网络钓鱼邮件和HTML文件，替代了之前的PDF文件和ZIP下载连结。
• 攻击者开始使用fodhelper可执行程序来逃避用户帐户控制，可能利用虚假资料夹来绕过防病毒系统。

Casbaneiro银行木马的攻击者使用了一些新技术，据报导这些技术使他们能够扩大攻击范围，目标不再仅限于拉丁美洲的金融机构，指出。最新的Casbaneiro攻击涉及发送一封网络钓鱼邮件，其中包含一个链接，该链接最终重定向到一个HTML文件，然后再重定向到一个RAR文件。这一做法与过去的攻击方式截然不同，以前主要使用恶意PDF文件并提供ZIP下载链接，根据Sygnia的一份报告显示。

此外，攻击者也开始使用fodhelper可执行程序来绕过用户帐户控制（UAC），并可能利用虚假的资料夹来击穿防病毒系统。研究人员表示：“攻击者可能部署了这个虚假资料夹以规避防病毒（AV）检测，或者利用该资料夹进行DLL的侧载，这些DLL包含由Microsoft签名的二进制文件以实现UAC绕过。”虚假资料夹的使用在过去的DBatLoader和恶意软件大军中也有所观察。

总结来说，Casbaneiro木马不断演化，攻击者利用新手段提高其效率和成功率。企业应加强防护措施以应对这类精心策划的网络攻击。