CamuBot
Le malware CamuBot est un cheval de Troie bancaire (Banking Trojan) qui a été enregistré par les sociétés AV le 6 septembre 2018. Le cheval de Troie bancaire CamuBot est un programme unique proposé directement aux utilisateurs de PC en tant que « module de sécurité ». Le vecteur d'infection est une campagne d'ingénierie sociale qui exploite les informations accessibles au public. Les acteurs de la menace ciblent les utilisateurs de banques de niveau professionnel au Brésil et les appellent par téléphone. Les acteurs de la menace recherchent des victimes via les médias sociaux tels que Facebook, les annuaires téléphoniques et les moteurs de recherche tels que Google. Ensuite, ils procèdent à l'appel de leurs cibles et ils prétendent être des employés de la banque où l'utilisateur a un compte. Lors de l'appel, il est demandé aux utilisateurs s'ils ont installé le « module de sécurité » nécessaire pour répondre aux dernières exigences de sécurité concernant leur activité bancaire en ligne.
À ce stade, les utilisateurs sont invités à consulter une fausse page de vérification qui peut ressembler à leur portail bancaire. Les visiteurs sont accueillis par une fenêtre pop-up indiquant qu'ils ne disposent pas du « module de sécurité » requis et qu'un téléchargement automatique est effectué. Comme vous pouvez le deviner, l'application d'authentification bancaire proposée est le cheval de Troie CamuBot déguisé. L'application nécessite un compte administrateur pour être installé sur le disque local. L'accès de niveau supérieur est nécessaire pour que le programme installe un pilote de système de bas niveau permettant aux acteurs de la menace de partager des périphériques bancaires autorisés avec leurs victimes. Une fois que le cheval de Troie CamuBot est opérationnel, les représentants de la fausse banque demandent à l'utilisateur d'ouvrir une nouvelle page de phishing qui ressemble à son portail bancaire afin qu'il puisse se connecter à son compte et obtenir un nom d'utilisateur et mot de passe.
Tant que le pilote du système CamuBot est exécuté en arrière-plan, les acteurs de la menace peuvent accéder au périphérique authentifié et se connecter au compte bancaire de la victime. Le cheval de Troie CamuBot peut fonctionner en tant que « Módulo de Atualização (32bit).exe » sur les appareils infectés et utiliser le nom de l'éditeur FabulaTech. Vous pouvez trouver l'entrée de CamuBot dans le « Panneau de configuration » sous le nom « USB over Network 5.2.2 ». Il est recommandé d'éliminer le logiciel malveillant CamuBot en utilisant un utilitaire anti-malware respecté et assurez-vous de vérifier les paiements récents avec votre banque.
