Coyote Banking Trojan
Изследователите наскоро откриха уникален банков троянски кон, наречен "Coyote", предназначен да събира идентификационни данни за 61 приложения за онлайн банкиране. Това, което отличава заплахата от Coyote, е широкото й насочване към приложения в банковия сектор, като мнозинството е концентрирано в Бразилия. Този троянски кон се отличава със сложната си комбинация от основни и разширени компоненти. По-конкретно, той използва сравнително нов инсталатор с отворен код, наречен Squirrel, разчита на NodeJs, използва по-рядко срещания език за програмиране „Nim“ и може да се похвали с над дузина вредни функционалности. Това откритие означава забележителен напредък в процъфтяващия пазар на Бразилия за финансов злонамерен софтуер, което потенциално представлява значителни предизвикателства за екипите по сигурността, ако фокусът му се разшири още повече.
Съдържание
Бразилските киберпрестъпници са се съсредоточили върху банкови троянски заплахи
Бразилските разработчици на злонамерен софтуер създават активно банкови троянски коне в продължение на повече от две десетилетия, датиращи поне от 2000 г. През 24 години непрекъснато развитие, където те умело навигират и преодоляват развиващите се методи за удостоверяване и технологии за защита, тяхната креативност е очевидна, както е илюстрирано от появата на най-новия троянски кон.
Докато експертите в момента подчертават Coyote като заплаха, фокусирана основно върху бразилските потребители, организациите имат убедителни причини да наблюдават отблизо потенциалните му възможности. Миналите тенденции показват, че фамилиите злонамерен софтуер, успешни на бразилския пазар, често разширяват своя обхват в международен план. Следователно корпорациите и банките трябва да бъдат бдителни и подготвени да се справят с Coyote, ако въздействието му се разшири.
Друго важно съображение за екипите по сигурността се крие в историческото развитие на банковите троянски коне, които се развиват в напълно развити троянски коне за първоначален достъп и задни вратички. Забележителните примери включват трансформациите на Emotet и Trickbot и, по-скоро, QakBot и Ursinif. Този модел подчертава колко е важно да се обръща внимание на появата на нови банкови троянски коне, тъй като те потенциално биха могли да се превърнат в по-сложни заплахи.
Банковият троян Coyote е оборудван с водолаз, пълен с вредни способности
Coyote показва подобрена гама от функционалности, което му позволява да изпълнява разнообразни команди като заснемане на екранни снимки, регистриране на натиснати клавиши, прекратяване на процеси, изключване на машината и манипулиране на курсора. За отбелязване е, че може също така да предизвика замръзване на машината чрез наслагване на измамен екран „Работа по актуализации…“.
В общото си поведение Coyote се придържа към типичния модел на модерен банков троянски кон. При активиране на съвместимо приложение на заразена система, злонамереният софтуер комуникира с контролиран от нападателя Command-and-Control (C2) сървър. След това представя убедително фишинг наслагване върху екрана на жертвата, за да улови информация за влизане. Въпреки това, Coyote се отличава със своите умели тактики за избягване срещу потенциални засичания.
За разлика от много банкови троянски коне, които използват Windows Installers (MSI), лесно откриваеми от защитниците на киберсигурността, Coyote избира Squirrel. Squirrel е законен инструмент с отворен код, предназначен за инсталиране и актуализиране на настолни приложения на Windows. Използвайки Squirrel, Coyote се опитва да прикрие своя злонамерен начален етап на зареждане, представяйки го като привидно безобиден пакет за актуализиране.
Последният етап на зареждане добавя още един слой уникалност, като е кодиран в сравнително необичайния език за програмиране „Nim“. Това бележи един от първите случаи, когато е наблюдаван банков троянски кон, използващ Nim.
Традиционно банковите троянски коне са написани предимно на Delphi, по-стар език, който се използва широко в различни семейства зловреден софтуер. Тъй като методите за откриване на злонамерен софтуер Delphi се подобряват през годините, ефективността на инфекциите постепенно намалява. С приемането на Nim, разработчиците на Coyote прегръщат по-модерен език за програмиране, включвайки нови функции и постигайки по-нисък процент на откриване от софтуера за сигурност.
Банковите троянски коне се разпространиха, за да се превърнат в глобална операция
През последните години Бразилия се превърна в глобален епицентър на банков зловреден софтуер. Въпреки че произхождат от Бразилия, тези заплашителни програми са показали способността си да прекосяват океани и континенти. Умелите оператори зад тези заплахи притежават богат опит в разработването на банкови троянски коне и проявяват голям интерес към разширяване на своите атаки в глобален мащаб. Вследствие на това изследователите са наблюдавали случаи на бразилски банкови троянски коне, насочени към юридически и физически лица, достигащи до Австралия и Европа.
Един забележителен пример е Grandoreiro , троянски кон с подобни характеристики, който успешно проникна не само в Мексико и Испания, но също така разшири обхвата си далеч отвъд тези граници. В своя пик тази заплаха присъстваше в общо 41 държави.
Успехът на тези операции обаче привлече засилено внимание от страна на правоприлагащите органи. В забележителен ход, насочен към разрушаване на кибернетичната екосистема, улесняваща подобен зловреден софтуер, бразилската полиция изпълни пет временни заповеди за арест и 13 заповеди за претърсване и изземване, насочени към лицата, отговорни за Grandoreiro в пет щата в Бразилия.
