ហេគឃ័រផ្នែកហិរញ្ញវត្ថុនៅក្រោយមេរោគធនាគារ Casbaneiro ត្រូវគេមើលឃើញថាកំពុងតែប្រើបច្ចេកទេសឆ្លងកាត់ User Account Control (UAC) ដើម្បីមានសិទ្ធិគ្រប់គ្រងពេញលេញនៅលើម៉ាសុីន ដែលជាសញ្ញាថាហេគឃ័រកំពុងតែវិវត្តន៍តិចនិចរបស់ពួកគេដើម្បីគេចពីការរកឃើញនិងប្រតិបត្តិកូដអាក្រក់នៅលើឧបករណ៍ដែលសម្របសម្រួល។
ក្រុមហ៊ុន Sygnia ថ្លែងថា ហេគឃ័រនៅតែផ្តោតលើស្ថាប័នហិរញ្ញវត្ថុអាមេរិកឡាទីន ប៉ុន្តែការផ្លាស់ប្តូរតិចនិករបស់ពួកគេក៏បង្ហាញពីសញ្ញាគ្រោះថ្នាក់ចំពោះស្ថាប័នហិរញ្ញវត្ថុពហុតំបន់ផងដែរ។ មេរោគ Casbaneiro គេស្គាល់ថាជា Metamorfo និង Ponteiro ដែលជាមេរោគធនាគារដ៏ល្បី លេចឡើងនៅក្នុងយុទ្ធនាការ email spam វាយប្រហារលើស្ថាប័នហិរញ្ញវត្ថុអាមេរិកឡាទីនកាលពីឆ្នាំ២០១៨។ ខ្សែច្រវាក់នៃការចម្លងមេរោគ ចាប់ផ្តើមជាមួយនឹងការប្រើ phishing email ជាអន្ទាក់ នៅពេលបើកដំណើរការ មេរោគចាប់ដំណើរការជាបន្តបន្ទាប់ឈានដល់ការដាក់ពង្រាយមេរោគធនាគារ រួមជាមួយ scripts ដែលប្រើបច្ចេកទេស living-off-the-land ដើម្បីស្គេនម្រាមដៃ និងប្រមូលទិន្នន័យ (metadata) ប្រព័ន្ធ។ ថែមទាំងដោនឡូតនៅដំណាក់កាលនេះ មាន binary ឈ្មោះ Horabot ដែលត្រូវបង្កើតឡើងដើម្បីប្រកាសការចម្លងខាងក្នុងទៅកាន់បុគ្គលិកដែលគ្មានការសង្ស័យនៃស្ថាប័នដែលបំពាន។
ក្រុមហ៊ុនសន្តិសុខសាយប័រថ្លែងនៅក្នុងរបាយការណ៍កាលពីខែមេសា ឆ្នាំ២០២២ ថា ការណ៍នេះបន្ថែមភាពជឿជាក់លើអុីម៉ែលដែលផ្ញើ ដោយសារតែមើលទៅគ្មានបញ្ហានៅក្នុងអុីម៉ែល headers ដែលជាធម្មតាជំរុញឱ្យមានដំណោះស្រាយ តាមរយៈសកម្មភាពនិងកាត់បន្ថយហានិភ័យ។ អុីម៉ែលរួមមាន PDF attachment ធ្លាប់សម្របសម្រួលជនរងគ្រោះមុន (hosts) ដូច្នេះខ្សែច្រវាក់នៃការវាយប្រហារត្រូវដំណើរការម្តងទៀត។ អ្វីដែលត្រូវប្តូរនៅក្នុងការវាយប្រហារថ្មីៗនេះគឺថា ហេគឃ័រចាប់ផ្តើមប្រើ spear-phishing email មានបង្កប់លីង HTML file ដែលនាំជនរងគ្រោះទៅដោនឡូត RAR file។ ការផ្លាស់ប្តូរទី២ គឺ modus operandi ពាក់ព័ន្ធនឹងការប្រើ fodhelper.exe ដើម្បីទទួល UAC bypass និងឈានទៅប្រតិបត្តិកម្រិតខ្ពស់។
ក្រុមហ៊ុន Sygnia ក៏ថ្លែងថា វាក៏តាមដានហេគឃ័រ Casbaneiro កំពុងតែបង្កើត folder សាកល្បង នៅលើ C:\Windows[space]\system32 ដើម្បីកូពីអ្នកប្រតិបត្តិ fodhelper.exe បើទោះបីជា path ដែលបង្កើតត្រូវគេនិយាយថា មិនដែលត្រូវគេប្រើក្នុងការវាយប្រហារក្តី។ ជាងនេះទៀត ក្រុមហ៊ុនបន្តថា វាអាចទៅរួចថា ហេគឃ័រដាក់ពង្រាយ folder សាកល្បងដើម្បីឆ្លងកាត់ការរកឃើញ AV ដែល folder សម្រាប់ side-load DLLs ជាមួយ Microsoft-signed binaries សម្រាប់ឆ្លងកាត់ UAC។ ការអភិវឌ្ឍនេះជាលើកទី៣ ហើយដែលវិធីសាស្រ្តបង្កើត folder សាកល្បងត្រូវគេរកឃើញប៉ុន្មានខែថ្មីៗនេះ ជាមួយនឹងការបញ្ជូនមេរោគ malware loader ឈ្មោះ DBatLoader ក៏ដូចជា Warzone RAT (aka Ave Maria)៕
