Troià Coyote Banking
Els investigadors van descobrir recentment un troià bancari únic anomenat "Coiote", dissenyat per recollir credencials per a 61 aplicacions de banca en línia. El que diferencia l'amenaça Coyote és la seva àmplia orientació a les aplicacions del sector bancari, la majoria concentrada al Brasil. Aquest troià destaca per la seva complexa combinació de components bàsics i avançats. Concretament, utilitza un instal·lador de codi obert relativament nou anomenat Squirrel, es basa en NodeJs, utilitza el llenguatge de programació menys comú "Nim" i compta amb més d'una dotzena de funcionalitats nocives. Aquest descobriment significa un avenç notable en el florent mercat de programari maliciós financer del Brasil, que pot suposar reptes importants per als equips de seguretat si el seu enfocament s'amplia encara més.
Taula de continguts
Els ciberdelinqüents brasilers s'han centrat en les amenaces bancàries de Troia
Els desenvolupadors brasilers de programari maliciós han estat creant activament troians bancaris durant més de dues dècades, que es remunten almenys a l'any 2000. Al llarg de 24 anys de desenvolupament continu, on han navegat amb habilitat i han superat els mètodes d'autenticació i tecnologies de protecció en evolució, la seva creativitat és evident, com ho demostra l'aparició de l'últim troià.
Si bé els experts actualment destaquen el Coyote com una amenaça centrada principalment en els consumidors brasilers, les organitzacions tenen motius convincents per controlar de prop les seves capacitats potencials. Les tendències anteriors indiquen que les famílies de programari maliciós amb èxit al mercat brasiler sovint estenen el seu abast internacionalment. Per tant, les corporacions i els bancs han d'estar vigilants i preparats per fer front a Coiote si el seu impacte s'amplia.
Una altra consideració crucial per als equips de seguretat rau en la progressió històrica dels troians bancaris que evolucionen cap a troians d'accés inicial i portes posteriors. Els exemples notables inclouen les transformacions d' Emotet i Trickbot i, més recentment, QakBot i Ursinif. Aquest patró subratlla la importància de parar atenció a l'aparició de nous troians bancaris, ja que podrien evolucionar cap a amenaces més sofisticades.
El troià Coyote Banking està equipat amb un bussejador ple de capacitats perjudicials
Coyote presenta una gamma millorada de funcionalitats, que li permeten dur a terme diverses ordres com ara capturar captures de pantalla, registrar pulsacions de tecla, finalitzar processos, apagar la màquina i manipular el cursor. En particular, també pot provocar una congelació de la màquina superposant una pantalla enganyosa "Treballant amb actualitzacions...".
En el seu comportament general, Coyote s'adhereix al patró típic d'un troià bancari modern. Quan s'activa una aplicació compatible en un sistema infectat, el programari maliciós es comunica amb un servidor de comandament i control (C2) controlat per l'atacant. A continuació, presenta una superposició de pesca convincent a la pantalla de la víctima per capturar la informació d'inici de sessió. Tanmateix, Coyote es distingeix per les seves tàctiques d'evasió hàbils contra deteccions potencials.
A diferència de molts troians bancaris que utilitzen Windows Installers (MSI), fàcilment detectables pels defensors de la ciberseguretat, Coyote opta per Squirrel. Squirrel és una eina legítima de codi obert dissenyada per instal·lar i actualitzar aplicacions d'escriptori de Windows. Aprofitant Squirrel, Coyote s'esforça per camuflar el seu maliciós carregador d'etapa inicial, presentant-lo com un paquet d'actualitzacions aparentment inofensiu.
El carregador de l'etapa final afegeix una altra capa d'unicitat, sent codificat en el llenguatge de programació relativament poc comú "Nim". Aquest és un dels primers casos en què s'ha observat un troià bancari utilitzant Nim.
Tradicionalment, els troians bancaris s'han escrit principalment en Delphi, un llenguatge més antic molt utilitzat en diverses famílies de programari maliciós. A mesura que els mètodes de detecció del programari maliciós Delphi han millorat al llarg dels anys, l'eficiència de les infeccions va disminuir gradualment. Amb l'adopció de Nim, els desenvolupadors de Coyote adopten un llenguatge de programació més modern, incorporant noves funcions i aconseguint una menor taxa de detecció per part del programari de seguretat.
Els troians bancaris s'han estès per convertir-se en una operació global
En els últims anys, el Brasil s'ha convertit en un epicentre global del programari maliciós bancari. Tot i ser originaris del Brasil, aquests programes amenaçadors han demostrat la capacitat de travessar oceans i continents. Els operadors experts darrere d'aquestes amenaces tenen una àmplia experiència en el desenvolupament de troians bancaris i mostren un gran interès per expandir els seus atacs a escala global. En conseqüència, els investigadors han observat casos de troians bancaris brasilers dirigits a entitats i individus de tan gran abast com Austràlia i Europa.
Un exemple destacable és Grandoreiro , un troià de característiques similars que no només es va infiltrar amb èxit a Mèxic i Espanya, sinó que també va ampliar el seu abast molt més enllà d'aquestes fronteres. En el seu punt àlgid, aquesta amenaça va tenir presència en un total de 41 països.
No obstant això, l'èxit d'aquestes operacions va atreure un escrutini més intens per part de les forces de l'ordre. En una mesura notable destinada a interrompre l'ecosistema subterrani cibernètic que facilita aquest programari maliciós, la policia brasilera va executar cinc ordres de detenció temporal i 13 ordres de recerca i confiscació dirigides als responsables de Grandoreiro en cinc estats del Brasil.
