Coyote Banking Trojan
Forskere har nylig avdekket en unik banktrojaner kalt 'Coyote', designet for å samle inn legitimasjon for 61 nettbankapplikasjoner. Det som skiller Coyote-trusselen er dens omfattende målretting mot apper i banksektoren, med flertallet konsentrert i Brasil. Denne trojaneren skiller seg ut for sin intrikate kombinasjon av grunnleggende og avanserte komponenter. Nærmere bestemt bruker den et relativt nytt åpen kildekode-installasjonsprogram kalt Squirrel, er avhengig av NodeJs, bruker det mindre vanlige programmeringsspråket 'Nim' og kan skryte av over et dusin skadelige funksjoner. Denne oppdagelsen betyr et bemerkelsesverdig fremskritt i Brasils blomstrende marked for finansiell skadevare, som potensielt kan utgjøre betydelige utfordringer for sikkerhetsteamene dersom fokuset utvides ytterligere.
Innholdsfortegnelse
Brasilianske nettkriminelle har vært fokusert på trojanske banktrusler
Brasilianske utviklere av skadelig programvare har aktivt laget banktrojanere i over to tiår, som dateres tilbake til minst 2000. Gjennom 24 år med kontinuerlig utvikling, hvor de på dyktig måte har navigert og overvunnet utviklende autentiseringsmetoder og beskyttelsesteknologier, er kreativiteten deres tydelig, som eksemplifisert av fremveksten av den siste trojaneren.
Mens eksperter for tiden fremhever Coyote som en trussel primært fokusert på brasilianske forbrukere, har organisasjoner overbevisende grunner til å overvåke dens potensielle evner nøye. Tidligere trender indikerer at skadevarefamilier som lykkes på det brasilianske markedet ofte utvider rekkevidden internasjonalt. Derfor må selskaper og banker være årvåkne og beredt til å ta tak i Coyote hvis virkningen blir større.
En annen viktig vurdering for sikkerhetsteam ligger i den historiske utviklingen av banktrojanere som utvikler seg til fullverdige trojanere og bakdører. Bemerkelsesverdige tilfeller inkluderer transformasjonene av Emotet og Trickbot og, mer nylig, QakBot og Ursinif. Dette mønsteret understreker viktigheten av å ta hensyn til fremveksten av nye banktrojanere, da de potensielt kan utvikle seg til mer sofistikerte trusler.
Coyote Banking Trojan er utstyrt med en dykker full av skadelige egenskaper
Coyote viser et forbedret utvalg av funksjoner, som lar den utføre forskjellige kommandoer som å ta skjermbilder, logge tastetrykk, avslutte prosesser, slå av maskinen og manipulere markøren. Spesielt kan det også indusere en maskinfrys ved å legge over en villedende "Jobber med oppdateringer ..."-skjerm.
I sin generelle oppførsel følger Coyote det typiske mønsteret til en moderne banktrojaner. Ved aktivering av en kompatibel app på et infisert system, kommuniserer skadelig programvare med en angriperkontrollert Command-and-Control-server (C2). Den presenterer deretter et overbevisende phishing-overlegg på offerets skjerm for å fange inn påloggingsinformasjon. Imidlertid utmerker Coyote seg gjennom sin dyktige unnvikelsestaktikk mot potensielle oppdagelser.
I motsetning til mange banktrojanere som bruker Windows Installers (MSI), som lett kan oppdages av cybersikkerhetsforsvarere, velger Coyote Squirrel. Squirrel er et legitimt åpen kildekodeverktøy designet for å installere og oppdatere Windows-skrivebordsapper. Ved å utnytte Squirrel, forsøker Coyote å kamuflere sin ondsinnede startfaselaster, og presenterer den som en tilsynelatende harmløs oppdateringspakker.
Lasteren på siste trinn legger til et nytt lag med unikhet, og er kodet i det relativt uvanlige programmeringsspråket "Nim". Dette markerer et av de første tilfellene der en banktrojaner har blitt observert ved bruk av Nim.
Tradisjonelt har banktrojanere hovedsakelig blitt skrevet i Delphi, et eldre språk som er mye brukt på tvers av ulike skadevarefamilier. Ettersom oppdagelsesmetoder for Delphi-malware har blitt bedre med årene, falt effektiviteten til infeksjoner gradvis. Med adopsjonen av Nim, omfavner Coyotes utviklere et mer moderne programmeringsspråk, som inkluderer nye funksjoner og oppnår en lavere gjenkjenningshastighet med sikkerhetsprogramvare.
Banktrojanere har spredt seg til å bli en global operasjon
De siste årene har Brasil dukket opp som et globalt episenter for bankprogramvare. Til tross for opprinnelse i Brasil, har disse truende programmene vist evnen til å krysse hav og kontinenter. De dyktige operatørene bak disse truslene har lang erfaring med å utvikle banktrojanere og viser en stor interesse for å utvide sine angrep på global skala. Følgelig har forskere observert tilfeller av brasilianske banktrojanere rettet mot enheter og enkeltpersoner så vidtrekkende som Australia og Europa.
Et bemerkelsesverdig eksempel er Grandoreiro , en trojaner med lignende egenskaper som med suksess infiltrerte ikke bare Mexico og Spania, men som også utvidet rekkevidden langt utover disse grensene. På det meste hadde denne trusselen tilstedeværelse i totalt 41 land.
Suksessen til disse operasjonene tiltrakk seg imidlertid økt gransking fra rettshåndhevelse. I et bemerkelsesverdig grep rettet mot å forstyrre det underjordiske økosystemet på nett for å tilrettelegge for slik skadevare, utførte brasiliansk politi fem midlertidige arrestordrer og 13 ransakings- og beslagsordrer rettet mot personene som er ansvarlige for Grandoreiro i fem delstater i Brasil.
