Casbaneiro, juga dikenal sebagai Metamorfo, adalah trojan perbankan yang menargetkan layanan bank dan cryptocurrency. Ia menggunakan metode social engineering, di mana jendela pop-up palsu ditampilkan. Munculan ini mencoba membujuk calon korban untuk memasukkan informasi sensitif yang jika berhasil informasi itu kemudian dicuri.
Kemampuan backdoor dari malware ini dapat mengambil tangkapan layar dan mengirimkannya ke server C&C, mensimulasikan ketukan pada mouse dan keyboard dan menangkap penekanan tombol, mengunduh dan menginstal pembaruan untuk dirinya sendiri, membatasi akses ke berbagai situs web, dan mengunduh serta mengeksekusi executable lainnya.
Casbaneiro mengumpulkan informasi berikut tentang korbannya:
-
Daftar produk antivirus yang diinstal
-
Versi OS
-
Nama pengguna
-
Nama komputer
-
Jika ada dari perangkat lunak berikut yang diinstal:
-
Diebold Warsaw GAS Tecnologia (aplikasi untuk melindungi akses ke perbankan online)
-
Trusteer
-
Beberapa aplikasi perbankan
Meskipun tampaknya ada setidaknya empat varian malware yang berbeda, inti dari semuanya hampir identik dengan kode dalam repositori GitHub. Namun, secara praktis tidak mungkin untuk memisahkan mereka satu sama lain, terutama karena beberapa varian menggunakan versi berbeda menggunakan kunci dekripsi string yang sama, dan mekanisme yang sama digunakan dalam varian yang berbeda. Selain itu, perbedaannya tidak penting dari sudut pandang fungsionalitas. Karena itu, ESET akan merujuk ke semua varian ini sebagai Casbaneiro.
Penyebaran Casbaneiro
ESET menyakini penyebaran malware perbankan ini melalui email yang disisipi lampiran berbahaya di awal rantau distribusi Casbaneiro. Operasi siber mereka sebelumnya jika diperhatikan, mereka menggunakan skrip PowerShell, mirip seperti yang digunakan oleh malware perbankan lainnya, Amavaldo. Meskipun beberapa bagian berbeda, kedua skrip jelas berasal dari sumber yang sama dan menggunakan metode pengaburan data yang sama.
ESET dalam risetnya melihat bahwa operasi siber mereka terbaru menggunaan teknik serupa dengan hanya beberapa perubahan. Executable Avast tidak lagi disalahgunakan dan payload utamanya, jesus.dmp tidak lagi dienkripsi. Folder instalasi telah diubah menjadi %APPDATA%\Sun\Javar\%RANDOM%\. Karena operasi siber Casbaneiro terbaru ini menggunakan penyingkat URL bit.ly,
Trik social engineering
Dalam operasi ini, korban dibujuk untuk mengunduh dan menginstal apa yang tampaknya merupakan update perangkat lunak keuangan yang legitimate, padahal itu sebuah penginstal:
-
Casbaneiro menyamar sebagai Spotify.exe
-
DLL lain yang sah
-
Payload menyamar sebagai OneDrive
-
Menyamar sebagai WhatsApp.
-
Kasus lain Casbaneiro menyamar sebagai penginstal dibundel bersama dengan alat cracking Re-Loader yang memungkinkan aktivasi Windows atau Microsoft Office secara tidak resmi. Ketika dieksekusi, Casbaneiro diam-diam diunduh dan dieksekusi terlebih dahulu, diikuti oleh Re-Loader.
Sembunyikan server C&C
Operator berusaha keras untuk menyembunyikan domain dan port server C&C yang sebenarnya, dan ini adalah salah satu fitur Casbaneiro yang paling menarik.
-
Enkripsi jelas merupakan metode paling sederhana untuk menyembunyikan server C&C. Domain dienkripsi dengan kunci hardcoded dengan port juga hardcoded. ESET telah menemukan kasus ini, di mana port telah disimpan di bagian data, dalam data formulir Delphi, atau dipilih secara acak dari suatu rentang.
-
Metode yang lebih canggih adalah menyimpan data di suatu tempat online, dalam hal ini di Google Documents. Casbaneiro menggunakan metode ini, di mana dokumen tersebut penuh dengan teks sampah.
-
Tertanam dalam situs web yang dibuat. Dalam pendekatan ini, operator membuat situs web palsu, meniru situs yang sah. Domain C&C asli disembunyikan di dalam metadata halaman web. ESET telah menemukan setidaknya tiga situs web yang identik dengan URL yang berbeda.
-
Tertanam dalam situs web yang legitimate. Casbaneiro menyalahgunakan YouTube untuk menyimpan domain server C&C-nya. ESET telah mengidentifikasi dua akun berbeda yang digunakan pelaku, satu akun fokus pada resep memasak dan yang lainnya tentang sepak bola.
Jadi di mana server C&C disembunyikan? Setiap video di saluran ini berisi deskripsi. Di akhir deskripsi ini, ada tautan ke URL Facebook atau Instagram palsu. Domain server C&C disimpan di tautan ini, menggunakan skema enkripsi yang sama seperti pada kasus sebelumnya, kunci disimpan di awal data terenkripsi. Port, sekali lagi, dikodekan dalam biner.
-
Menggunakan entri DNS palsu. Gagasan umum dari metode ini adalah mendaftarkan domain dan mengasosiasikannya dengan alamat IP palsu sehingga alamat IP asli dapat diturunkan darinya.
Bisa dikatakan trojan perbankan ini paling banyak lagaknya dalam berbagai metode yang digunakan, mulai dari distribusi, trik penyebaran sampai menyembunyikan server C&C-nya. Meski demikian ini merupakan indikasi bahwa pengembang malware tidak sembarangan dalam mempersiapkan malware. Ke depan bisa jadi pengembang akan membuat malware ini lebih canggih dan berbahaya.
