По результатам retro-hunt Sygnia через VirusTotal, за первые месяцы 2023 года обнаружено свыше 70 свежих dropper-скриптов и 150 directory-скриптов Casbaneiro. Кампания, которую многие списали со счетов после 2019-го, показала трёхкратный рост активности. При этом ядро трояна - те же Delphi-модули с характерной строковой таблицей на сотни записей, четыре криптографических алгоритма и два метода выполнения через доверенные PE. Ниже - покомпонентный разбор каждого механизма: от XOR-дешифровки строк до конкретных экспортируемых функций DLL и поведенческих маркеров, которые можно тащить в продакшн-детект.
Casbaneiro malware: kill chain и MITRE ATT&CK маппинг
Casbaneiro (Metamorfo, Ponteiro) - семейство латиноамериканских банковских троянов, нацеленное на финансовые организации Бразилии и Мексики с 2018 года. За последние годы география расползлась: Sygnia фиксирует семплы, загруженные из Панамы, Испании, США и Канады. BlueVoyant в 2025 году документирует атаки на испаноязычных пользователей европейских организаций. Это уже не региональная история.Backdoor-функции типичны для LATAM-банкеров: снимки экрана, эмуляция мыши и клавиатуры, кейлоггинг, ограничение доступа к банковским сайтам, загрузка и выполнение произвольных файлов. Фишка - перехват содержимого буфера обмена для подмены адресов криптовалютных кошельков (Clipboard Data, T1115). Адрес кошелька атакующего захардкожен в бинаре; по данным ESET, на момент анализа кошелёк уже имел входящие транзакции. Кто-то попался.
При первом запуске троян снимает отпечаток жертвы: список установленных антивирусов (WMI-запрос к
root\SecurityCenter2), версия ОС, имя пользователя, hostname, наличие специализированного банковского ПО - Diebold Warsaw GAS Tecnologia, Trusteer, ряда LATAM-банковских приложений. Это System Checks (T1497.001, Discovery/Stealth) - результат определяет, что семпл будет делать дальше.Полная цепочка атаки с маппингом на MITRE ATT&CK:
| Этап kill chain | Техника Casbaneiro | MITRE ATT&CK |
|---|---|---|
| Initial Access | Spearphishing с PDF/HTML-вложением | Spearphishing Attachment (T1566.001) |
| Execution | PowerShell-скрипты, .cmd-файлы | Command and Scripting Interpreter: PowerShell (T1059.001), Windows Command Shell (T1059.003) |
| Persistence | Registry Run Keys, .lnk-файлы | Registry Run Keys / Startup Folder (T1547.001) |
| Defense Evasion | Шифрование строк, AutoIt-обёртка | Obfuscated Files or Information (T1027), Deobfuscate/Decode Files or Information (T1140) |
| Defense Evasion | Проверка AV, sandbox, региона | System Checks (T1497.001) |
| Credential Access | Кейлоггер | Keylogging (T1056.001) |
| Collection | Снимки экрана, перехват буфера обмена | Screen Capture (T1113), Clipboard Data (T1115) |
| C&C | YouTube, Google Docs как Dead Drop | Dead Drop Resolver (T1102.001) |
Принципиальное уточнение, потому что путаница встречается даже в профильных статьях: Casbaneiro не использует DGA (Domain Generation Algorithm, T1568.002). Адреса C&C-серверов хранятся на легитимных площадках и извлекаются по запросу - это Dead Drop Resolver (T1102.001, Command and Control). DGA предполагает алгоритмическую генерацию доменов из seed-значений, чего тут нет. В ранних версиях есть арифметическое вычисление порта из IP-адреса при работе с поддельными DNS-записями, но это не seed-based генерация доменов.
Техники уклонения от детекции: криптографический анализ
Casbaneiro применяет четыре различных криптографических алгоритма - каждый для своего типа данных. Для LATAM-малвари четыре раздельных алгоритма - редкость: большинство семейств обходятся одним на всё. Четыре алгоритма усложняют статический анализ и делают невозможным написание единой YARA-сигнатуры на все защищённые данные. Кто бы ни проектировал эту архитектуру - он думал наперёд.Ещё один маркер родства семейств: payload-дешифратор идентичен тому, что используется в injector'е банковского трояна Amavaldo. Если при анализе семпла встречается этот алгоритм - проверяйте принадлежность и к Casbaneiro, и к Amavaldo.
Методы выполнения: обход EDR через Casbaneiro reverse engineering
AutoIt как вектор evasion для банковского трояна
Первый метод - связка из трёх файлов: подписанный AutoIt PE (маскируется какexe.png), зашифрованный AutoIt-скрипт (файл 1) и зашифрованный троян (файл m). После доставки на хост .cmd-скрипт переименовывает все файлы и помещает их в директорию по паттерну [I]<6 букв + 1 цифра>[/I]<заглавная буква> в корне C:\. По данным Sygnia, для идентификации таких директорий применимо регулярное выражение ^[I][A-Za-z]{6}[0-9][/I][A-Z]$ (якорный вариант; в отчёте Sygnia приведён без якорей) - прямой forensic-индикатор. Нашли директорию с таким именем в корне системного диска - это сильный сигнал заражения Casbaneiro.Persistence реализуется через .lnk-файлы, замаскированные под ярлыки Internet Explorer, которые указывают на вредоносные .cmd-скрипты. При каждом запуске генерируется новое имя директории - старые .lnk удаляются, чтобы у пользователя не плодились подозрительные папки.
AutoIt-скрипт зашифрован через Jos van der Zande AutoIt3 Obfuscator - MD5-хеш пароля шифрования извлекается из метаданных бинаря в HEX-редакторе (versioning, creation time доступны в заголовке). После дешифровки скрипт создаёт новый файл с расширением из набора - .ai, .ia, .db, .a1, .bc, .iaa - и вызывает экспортируемую функцию с характерным именем
F0x000102030405060708090A0B0C0D0E0F через DllCall. Процесс выполняется в контексте подписанного AutoIt - EDR, опирающиеся преимущественно на user-mode хуки, могут пропускать этот вызов. Но тут зависит от версии продукта и конфигурации политик.Современные EDR с kernel-level телеметрией (MDE через MsSense, CrowdStrike через Falcon Sensor) способны коррелировать
DllCall из AutoIt-процесса как аномалию - при включённых правилах поведенческой аналитики и мониторинга нестандартных DLL-загрузок. На legacy-инфраструктуре без EDR (Windows 7, типичный стек для финсектора Латинской Америки) метод проходит без препятствий.DLL Side-Loading через Oracle Java
Второй метод элегантнее: бандл содержит легитимный Oracle Java Platform SE 8 PE (exe.png), легитимную MSVCR100.dll от Visual Studio 2010 и вредоносную jli.dll, маскирующуюся под компонент Oracle Java. Оригинальный Java-бинарь (kinit.exe) импортирует jli.dll - атакующие подменяют её на свою DLL, сохраняя имя файла. Просто и красиво.При запуске Java PE загружает вредоносную jli.dll как штатную зависимость. Статические свойства подменённой DLL выдают подделку: нет цифровой подписи Oracle, не совпадает CompanyName в ресурсах PE. Sigcheck или YARA-правило на несовпадение vendor info в ресурсах - достаточный детект для этого метода. Ничего сложного, но надо знать что искать.
Применимость DLL side-loading через Oracle Java:
| Сценарий | Применимость | Обоснование |
|---|---|---|
| Внутренний пентест, legacy (Win7/Win10 < 1903) | Высокая | Нет WDAC/AppLocker, подписи DLL не проверяются |
| Внутренний пентест, modern (Win10 22H2+, EDR) | Низкая | MDE, CrowdStrike Falcon детектируют unsigned DLL в контексте signed PE |
| Внешний пентест (initial access) | Не применимо | Метод работает на этапе post-exploitation, требует доставки бандла на хост |
UAC Bypass и закрепление в системе
Начиная с 2023 года, по данным Sygnia, Casbaneiro использует UAC bypass черезfodhelper.exe - легитимный Windows-бинарь для управления опциональными компонентами ОС. Техника известная, но её интеграция в LATAM-банкер - заметный шаг вверх по зрелости операторов.Механизм в три шага: создание ключей реестра
HKCU:\Software\Classes\ms-settings\shell\open\command и DelegateExecute, запись командной строки в sub-key (default), запуск fodhelper.exe. Команда получает high integrity level без UAC-промпта. Классика, но работает.Операторы создают mock-директорию
C:\Windows \system32 (с пробелом после Windows) и копируют туда fodhelper.exe. Sygnia предполагает, что это либо обход AV-детекций по пути исполняемого файла, либо подготовка к DLL side-loading для Microsoft-подписанных бинарей через подменённое окружение. Пробел в имени директории - мелочь, но ломает кучу наивных правил детектирования.Как ловить: мониторинг записи в
HKCU\Software\Classes\ms-settings\shell\open\command - стандартное правило в Elastic Security (UAC Bypass via Fodhelper) начиная с версии 7.x. Для Sysmon - Event ID 13 (Registry Value Set) с фильтром по указанному пути. Создание директории C:\Windows (с trailing space) - дополнительный поведенческий маркер, детектируемый через Sysmon Event ID 11 (FileCreate) с regex на пробел перед \system32.Dead Drop Resolver: сокрытие C&C латиноамериканского банковского трояна
Операторы Casbaneiro применяют технику Dead Drop Resolver (T1102.001) - адрес C&C-сервера не зашит в бинаре напрямую, а извлекается из легитимных площадок. По данным ESET, документировано пять способов:- Зашифрованный домен в бинаре - базовый вариант ранних версий
- Онлайн-документы Google Docs - домен C&C встроен в текст документа
- Поддельные веб-сайты - замаскированы под институциональные ресурсы
- Описания видео YouTube - зашифрованный адрес C&C в тексте описания
- Поддельные DNS-записи - алгоритм: resolve базового домена без суффикса, при неудаче - перебор суффиксов, извлечение октетов IP, суммирование и умножение на 7 для вычисления порта
Инфраструктура C2 2023 года, по данным Sygnia: домены contactofiscal[.]cfd, factudigital[.]cfd, factdigital[.]shop, cgdf[.]shop, serviciofac[.]shop, fiscalcgdf[.]shop разрешались на IP 45.32.90[.]70 (Choopa ASN). Поздние стадии использовали tributaria[.]website (IP 172.104.193[.]212, затем 139.177.193[.]74, Akamai Canada). Более 40 файлов с одинаковым именем HTML-вложения (
adjuntos_0102_.html) загружены на VirusTotal с февраля 2023 - все содержали один из шести перечисленных доменов.Механизмы самораспространения банковского трояна Casbaneiro
Outlook MAPI и червеобразный malspam
Самая опасная возможность Casbaneiro - самораспространение через корпоративную почту жертвы. По данным Sygnia, после заражения хоста троян устанавливает Outlook MAPI через PowerShell (T1059.001) и собирает email-адреса из контактов жертвы. Адреса валидируются стандартным регулярным выражением для email-формата и эксфильтруются на C&C через HTTP POST.Дальше скомпрометированный хост рассылает тысячи фишинговых писем внутри организации с тем же PDF-вложением, которое заразило исходную жертву. Вот в чём подвох: письма идут из легитимного ящика сотрудника, SPF/DKIM/DMARC проходят без нарушений, email-gateway видит internal-to-internal трафик. Стандартные email-фильтры молчат.
Это превращает единичное заражение в червеобразное распространение по организации. Первый индикатор для SOC - аномальный всплеск исходящих писем с одного mailbox. В Exchange Online это отслеживается через Message Trace; на on-premise Exchange - мониторинг Transport Logs. Для зрелых SOC полезна корреляция: резкое увеличение отправленных писем + создание характерных директорий на хосте отправителя = high-confidence alert.
Horabot: эволюция от email к WhatsApp и ClickFix
По данным BlueVoyant (2025), группа Augmented Marauder (Water Saci, бразильского происхождения) интегрировала Casbaneiro с Horabot - модулем распространения, работающим как отдельная DLL. Связка выглядит так:- Casbaneiro (
staticdata.dll) устанавливается как основной payload через AutoIt-загрузчик с расширениями .ia или .at - Через C&C получает PowerShell-скрипт, активирующий Horabot
- Скрипт выполняет HTTP POST к PHP API (BlueVoyant указывает конкретный эндпоинт
gera_pdf.php), передавая рандомный четырёхзначный PIN - Сервер динамически генерирует защищённый паролем PDF, имитирующий испанскую судебную повестку
- Horabot рассылает PDF через скомпрометированный Outlook
- Параллельно Horabot-модуль (
at.dll) работает как спам-инструмент для Yahoo, Live, Gmail-аккаунтов
В 2025 году появились два дополнительных вектора доставки: WhatsApp Web (автоматизированная рассылка вредоносных ссылок, червеобразное поведение для retail-аудитории) и ClickFix (социальная инженерия, заставляющая жертву запустить HTA-файл якобы для исправления ошибки отображения). Email, WhatsApp и ClickFix одновременно - это признак зрелой операционной модели с сегментацией жертв по каналам. Не студенческий проект.
IOC и индикаторы компрометации: обнаружение Casbaneiro
Sygnia опубликовала и обновила три YARA-правила для охоты на семплы Casbaneiro:- Casbaneiro_Dropper_Script - детектирует PowerShell/CMD dropper-скрипты, исключены устаревшие C2-домены из предыдущих кампаний
- Casbaneiro_Directory_Script - идентифицирует скрипт создания директорий по описанному выше паттерну
- Casbaneiro_Trojan_DLL - ловит расшифрованную троянскую DLL по уникальным строкам и именам экспортируемых функций (обновлена в 2023)
| Индикатор | Источник телеметрии | Инструмент / правило |
|---|---|---|
Директория [I]??????#[/I]? в корне C:\ | Sysmon Event ID 11 (FileCreate) | Sysmon + Elastic/Splunk, regex-фильтр |
| Запись в ms-settings\shell\open\command | Sysmon Event ID 13 (Registry Set) | Elastic Security - UAC Bypass via Fodhelper |
| AutoIt-процесс с DllCall к нестандартной DLL | ETW Microsoft-Windows-Kernel-Process | CrowdStrike Falcon, MDE (kernel-level) |
| Всплеск исходящих email с одного mailbox | Exchange Transport Logs | O365 Message Trace, on-prem Transport Logs |
| Обращение к YouTube + DNS нового домена | Zeek conn.log + dns.log | Корреляция в SIEM (временное окно < 30 с) |
| Файлы .ia, .ai, .db, .a1, .bc, .iaa в AppData | Sysmon Event ID 11 | YARA + Sysmon |
| Mock-директория C:\Windows\ (trailing space) | Sysmon Event ID 11 | Regex-правило на пробел перед \system32 |
| Unsigned jli.dll в директории Java-бинаря | Periodic DLL audit / autoruns | Sigcheck, YARA на CompanyName mismatch |
Ограничения, о которых стоит помнить: поведенческие правила на AutoIt и DLL side-loading требуют baseline-а организации. Если AutoIt легитимно используется для автоматизации или присутствуют Java-приложения с kinit.exe - false positive rate вырастет существенно. На legacy-средах без EDR (Windows 7/8, всё ещё распространённых в финансовом секторе Латинской Америки) единственный надёжный вектор обнаружения - сетевой мониторинг C2-коммуникаций и аномалий email-трафика. На modern-инфраструктуре с CrowdStrike Falcon или MDE покрытие достаточное - при условии включённых правил для мониторинга registry modifications и нестандартных DLL-загрузок.
Casbaneiro показывает больше инженерной зрелости, чем принято ожидать от LATAM-банкеров. Четыре раздельных криптоалгоритма, два метода выполнения через доверенные PE, UAC bypass, Dead Drop через YouTube, червеобразное распространение через MAPI - это не одноразовый скрипт, это поддерживаемый продукт с версионированием и обновляемой инфраструктурой. Русскоязычные источники до сих пор описывают Casbaneiro одним абзацем: «троян ворует данные, прячет C&C на YouTube, нацелен на Латинскую Америку». Утверждение «нацелен на Латинскую Америку» - уже неактуально. С 2023 года семплы загружаются из Испании и США, Horabot-модуль не привязан к геолокации, а техники - DLL side-loading через Oracle Java, fodhelper UAC bypass, Dead Drop через YouTube - транспортируемы на любую Windows-инфраструктуру. Я наблюдал аналогичную траекторию у других семейств, начинавших как региональные и вышедших на глобальный уровень за два-три года. Для исследователя Casbaneiro - готовый каталог рабочих evasion-техник с конкретными реализациями, каждая из которых стоит воспроизведения в лабораторных условиях. Если хочется разобрать подобную цепочку на практике - на HackerLab.pro есть категории reverse и forensics, где можно отработать анализ вредоносных PE и восстановление kill chain без риска для рабочей инфраструктуры.
