Coyote Banking Trojan
Forskere har for nylig fundet en unik banktrojaner ved navn 'Coyote' designet til at høste legitimationsoplysninger til 61 netbankapplikationer. Det, der adskiller Coyote-truslen, er dens omfattende målretning af apps i banksektoren, hvor størstedelen er koncentreret i Brasilien. Denne trojaner skiller sig ud for sin indviklede kombination af grundlæggende og avancerede komponenter. Specifikt anvender den et relativt nyt open source-installationsprogram kaldet Squirrel, er afhængig af NodeJ'er, bruger det mindre almindelige programmeringssprog 'Nim' og kan prale af over et dusin skadelige funktioner. Denne opdagelse betegner et bemærkelsesværdigt fremskridt på Brasiliens blomstrende marked for finansiel malware, der potentielt udgør betydelige udfordringer for sikkerhedsteams, hvis deres fokus udvides yderligere.
Indholdsfortegnelse
Brasilianske cyberkriminelle har været fokuseret på trojanske banktrusler
Brasilianske malware-udviklere har aktivt lavet banktrojanske heste i mere end to årtier, som går tilbage til mindst 2000. Gennem 24 års kontinuerlig udvikling, hvor de dygtigt har navigeret og overvundet udviklende autentificeringsmetoder og beskyttelsesteknologier, er deres kreativitet tydelig, som eksemplificeret ved fremkomsten af den seneste trojaner.
Mens eksperter i øjeblikket fremhæver Coyote som en trussel, der primært er fokuseret på brasilianske forbrugere, har organisationer tvingende grunde til at overvåge dens potentielle muligheder nøje. Tidligere tendenser indikerer, at malware-familier, der har succes på det brasilianske marked, ofte udvider deres rækkevidde internationalt. Derfor skal virksomheder og banker være på vagt og parate til at tage fat på Coyote, hvis dens virkning bliver bredere.
En anden afgørende overvejelse for sikkerhedsteams ligger i den historiske udvikling af banktrojanske heste, der udvikler sig til fuldgyldige trojanske trojanske heste og bagdøre. Bemærkelsesværdige tilfælde inkluderer transformationerne af Emotet og Trickbot og for nylig QakBot og Ursinif. Dette mønster understreger vigtigheden af at være opmærksom på fremkomsten af nye banktrojanske heste, da de potentielt kan udvikle sig til mere sofistikerede trusler.
Coyote Banking Trojan er udstyret med en dykker fuld af skadelige egenskaber
Coyote udviser et udvidet udvalg af funktionaliteter, som gør det muligt at udføre forskellige kommandoer såsom at tage skærmbilleder, logge tastetryk, afslutte processer, lukke maskinen ned og manipulere markøren. Det kan især også fremkalde en maskinfrysning ved at overlejre en vildledende "Arbejder med opdateringer..."-skærm.
I sin generelle adfærd overholder Coyote det typiske mønster for en moderne banktrojaner. Ved aktivering af en kompatibel app på et inficeret system kommunikerer malwaren med en angriberstyret Command-and-Control-server (C2). Derefter præsenterer den et overbevisende phishing-overlay på ofrets skærm for at fange login-oplysninger. Coyote udmærker sig dog gennem sin dygtige undvigelsestaktik mod potentielle påvisninger.
I modsætning til mange banktrojanske heste, der bruger Windows Installers (MSI), som let kan spores af cybersikkerhedsforsvarere, vælger Coyote Squirrel. Squirrel er et legitimt open source-værktøj designet til at installere og opdatere Windows desktop-apps. Ved at udnytte Squirrel bestræber Coyote sig på at camouflere sin ondsindede indlæser i den første fase og præsenterer den som en tilsyneladende harmløs opdateringspakker.
Indlæseren på sidste trin tilføjer endnu et lag af unikhed, idet den er kodet i det relativt usædvanlige programmeringssprog 'Nim'. Dette markerer et af de første tilfælde, hvor en banktrojaner er blevet observeret ved hjælp af Nim.
Traditionelt er banktrojanske heste overvejende blevet skrevet i Delphi, et ældre sprog, der er meget udbredt på tværs af forskellige malware-familier. Da detektionsmetoder for Delphi-malware er blevet forbedret gennem årene, faldt effektiviteten af infektioner gradvist. Med adoptionen af Nim omfavner Coyotes udviklere et mere moderne programmeringssprog, der inkorporerer nye funktioner og opnår en lavere detektionshastighed med sikkerhedssoftware.
Banktrojanske heste har spredt sig til at blive en global operation
I de seneste år er Brasilien dukket op som et globalt epicenter for bank-malware. På trods af deres oprindelse i Brasilien har disse truende programmer vist evnen til at krydse oceaner og kontinenter. De dygtige operatører bag disse trusler har stor erfaring med at udvikle banktrojanske heste og udviser en stor interesse i at udvide deres angreb på globalt plan. Som følge heraf har forskere observeret tilfælde af brasilianske banktrojanske heste rettet mod enheder og enkeltpersoner så vidtrækkende som Australien og Europa.
Et bemærkelsesværdigt eksempel er Grandoreiro , en trojaner med lignende karakteristika, der med succes infiltrerede ikke kun Mexico og Spanien, men også udvidede sin rækkevidde langt ud over disse grænser. På sit højeste var denne trussel tilstede i i alt 41 lande.
Succesen med disse operationer tiltrak imidlertid øget kontrol fra retshåndhævelsen. I et bemærkelsesværdigt skridt, der havde til formål at forstyrre det underjordiske cyber-økosystem, der letter sådan malware, eksekverede brasiliansk politi fem midlertidige arrestordrer og 13 eftersøgnings- og beslaglæggelsesordrer rettet mod de personer, der er ansvarlige for Grandoreiro i fem stater i Brasilien.
