Kojot bankovní trojan
Výzkumníci nedávno objevili unikátního bankovního trojského koně s názvem 'Coyote', který byl navržen tak, aby sbíral přihlašovací údaje pro 61 online bankovních aplikací. Co odlišuje hrozbu Coyote, je její rozsáhlé zacílení na aplikace v bankovním sektoru, přičemž většina se soustředí v Brazílii. Tento trojský kůň vyniká svou složitou kombinací základních a pokročilých komponent. Konkrétně využívá relativně nový open-source instalační program s názvem Squirrel, spoléhá na NodeJs, využívá méně běžný programovací jazyk „Nim“ a může se pochlubit více než tuctem škodlivých funkcí. Tento objev znamená pozoruhodný pokrok na vzkvétajícím brazilském trhu s finančním malwarem, který potenciálně představuje významné výzvy pro bezpečnostní týmy, pokud se jeho zaměření dále rozšíří.
Obsah
Brazilští kyberzločinci se zaměřili na bankovní hrozby trojských koní
Brazilští vývojáři malwaru aktivně vytvářeli bankovní trojské koně již více než dvě desetiletí, od roku 2000. Během 24 let nepřetržitého vývoje, kdy se obratně orientovali a překonávali vyvíjející se metody ověřování a ochranné technologie, je jejich kreativita evidentní, jak dokládá např. vznik nejnovějšího trojského koně.
Zatímco odborníci v současné době vyzdvihují Coyote jako hrozbu primárně zaměřenou na brazilské spotřebitele, organizace mají přesvědčivé důvody k tomu, aby jeho potenciální schopnosti bedlivě sledovaly. Minulé trendy naznačují, že rodiny malwaru úspěšné na brazilském trhu často rozšiřují svůj dosah na mezinárodní úrovni. Korporace a banky proto musí být ostražité a připravené oslovit Coyote, pokud se jeho dopad rozšíří.
Další zásadní úvaha pro bezpečnostní týmy spočívá v historickém vývoji bankovních trojských koní, které se vyvíjely v plnohodnotné trojské koně s počátečním přístupem a zadní vrátka. Pozoruhodné příklady zahrnují transformace Emotet a Trickbot a v poslední době QakBot a Ursinif. Tento vzorec podtrhuje důležitost věnování pozornosti vzniku nových bankovních trojských koní, protože by se z nich mohly vyvinout sofistikovanější hrozby.
Trojan Coyote Banking je vybaven potápěčem plným škodlivých schopností
Coyote vykazuje vylepšenou řadu funkcí, které mu umožňují provádět různé příkazy, jako je pořizování snímků obrazovky, protokolování stisknutých kláves, ukončování procesů, vypínání stroje a manipulace s kurzorem. Zejména může také způsobit zamrznutí stroje překrytím klamné obrazovky „Pracujeme na aktualizacích…“.
Coyote se ve svém obecném chování drží typického vzorce moderního bankovního trojského koně. Po aktivaci kompatibilní aplikace na infikovaném systému komunikuje malware se serverem Command-and-Control (C2) ovládaným útočníkem. Poté na obrazovce oběti zobrazí přesvědčivý phishingový překryv k zachycení přihlašovacích údajů. Coyote se však odlišuje svou šikovnou únikovou taktikou proti potenciálním odhalením.
Na rozdíl od mnoha bankovních trojských koní, které využívají Windows Installers (MSI), snadno zjistitelné obránci kybernetické bezpečnosti, se Coyote rozhodl pro Squirrel. Squirrel je legitimní open-source nástroj určený pro instalaci a aktualizaci desktopových aplikací Windows. Využitím Squirrel se Coyote snaží zamaskovat svůj škodlivý zavaděč počáteční fáze a prezentuje jej jako zdánlivě neškodný balič aktualizací.
Zavaděč poslední fáze přidává další vrstvu jedinečnosti, protože je kódován v relativně neobvyklém programovacím jazyce „Nim“. Jedná se o jeden z prvních případů, kdy byl pomocí Nim pozorován bankovní trojan.
Bankovní trojské koně byly tradičně psány převážně v Delphi, starším jazyce široce používaném v různých rodinách malwaru. Jak se metody detekce malwaru Delphi v průběhu let zdokonalovaly, účinnost infekcí postupně klesala. Po přijetí Nim vývojáři Coyote přijali modernější programovací jazyk, který zahrnuje nové funkce a dosahuje nižší míry detekce bezpečnostním softwarem.
Bankovní trojské koně se rozšířily a staly se globální operací
V posledních letech se Brazílie stala globálním epicentrem bankovního malwaru. Přestože tyto hrozivé programy pocházejí z Brazílie, prokázaly schopnost překonat oceány a kontinenty. Zkušení operátoři za těmito hrozbami mají rozsáhlé zkušenosti s vývojem bankovních trojských koní a projevují velký zájem o rozšíření svých útoků v globálním měřítku. V důsledku toho vědci pozorovali případy brazilských bankovních trojských koní zaměřených na subjekty a jednotlivce tak daleko, jako je Austrálie a Evropa.
Jedním z pozoruhodných příkladů je Grandoreiro , trojský kůň s podobnými vlastnostmi, který úspěšně pronikl nejen do Mexika a Španělska, ale také rozšířil svůj dosah daleko za tyto hranice. V době svého vrcholu měla tato hrozba přítomnost celkem ve 41 zemích.
Úspěch těchto operací však přitahoval zvýšenou kontrolu ze strany vymáhání práva. V pozoruhodném kroku zaměřeném na narušení kybernetického podzemního ekosystému umožňujícího takový malware brazilská policie provedla pět dočasných zatykačů a 13 příkazů k prohlídce a zabavení zaměřených na osoby odpovědné za Grandoreiro v pěti státech v Brazílii.
