Coyote Banking Trojan
Ερευνητές ανακάλυψαν πρόσφατα ένα μοναδικό τραπεζικό Trojan με το όνομα «Coyote», σχεδιασμένο για τη συλλογή διαπιστευτηρίων για 61 διαδικτυακές τραπεζικές εφαρμογές. Αυτό που ξεχωρίζει την απειλή του Coyote είναι η εκτεταμένη στόχευση των εφαρμογών του τραπεζικού τομέα, με την πλειοψηφία να συγκεντρώνεται στη Βραζιλία. Αυτό το Trojan ξεχωρίζει για τον περίπλοκο συνδυασμό βασικών και προηγμένων στοιχείων. Συγκεκριμένα, χρησιμοποιεί ένα σχετικά νέο πρόγραμμα εγκατάστασης ανοιχτού κώδικα που ονομάζεται Squirrel, βασίζεται σε NodeJs, χρησιμοποιεί τη λιγότερο κοινή γλώσσα προγραμματισμού «Nim» και διαθέτει πάνω από δώδεκα επιβλαβείς λειτουργίες. Αυτή η ανακάλυψη σηματοδοτεί μια αξιοσημείωτη πρόοδο στην ακμάζουσα αγορά της Βραζιλίας για χρηματοοικονομικό κακόβουλο λογισμικό, δημιουργώντας δυνητικά σημαντικές προκλήσεις για τις ομάδες ασφαλείας, εάν η εστίασή της επεκταθεί περαιτέρω.
Πίνακας περιεχομένων
Οι Βραζιλιάνοι κυβερνοεγκληματίες έχουν επικεντρωθεί σε τραπεζικές τροϊκές απειλές
Οι Βραζιλιάνοι προγραμματιστές κακόβουλου λογισμικού κατασκευάζουν ενεργά τραπεζικά Trojans για πάνω από δύο δεκαετίες, που χρονολογούνται τουλάχιστον από το 2000. Κατά τη διάρκεια 24 ετών συνεχούς ανάπτυξης, όπου έχουν πλοηγηθεί επιδέξια και έχουν ξεπεράσει τις εξελισσόμενες μεθόδους ελέγχου ταυτότητας και τεχνολογίες προστασίας, η δημιουργικότητά τους είναι εμφανής, όπως αποδεικνύεται από η εμφάνιση του τελευταίου Trojan.
Ενώ οι ειδικοί επισημαίνουν επί του παρόντος το Coyote ως απειλή που επικεντρώνεται κυρίως στους Βραζιλιάνους καταναλωτές, οι οργανισμοί έχουν επιτακτικούς λόγους να παρακολουθούν στενά τις πιθανές δυνατότητές του. Οι προηγούμενες τάσεις δείχνουν ότι οι οικογένειες κακόβουλου λογισμικού που είναι επιτυχημένες στην αγορά της Βραζιλίας συχνά επεκτείνουν την εμβέλειά τους διεθνώς. Ως εκ τούτου, οι εταιρείες και οι τράπεζες πρέπει να επαγρυπνούν και να είναι έτοιμες να αντιμετωπίσουν το Coyote εάν διευρυνθεί ο αντίκτυπός του.
Ένα άλλο κρίσιμο ζήτημα για τις ομάδες ασφαλείας έγκειται στην ιστορική εξέλιξη των τραπεζικών Trojans που εξελίσσονται σε πλήρως ανεπτυγμένους Trojans αρχικής πρόσβασης και backdoors. Αξιοσημείωτες περιπτώσεις περιλαμβάνουν τους μετασχηματισμούς των Emotet και Trickbot και, πιο πρόσφατα, QakBot και Ursinif. Αυτό το μοτίβο υπογραμμίζει τη σημασία της προσοχής στην εμφάνιση νέων τραπεζικών Trojans, καθώς θα μπορούσαν ενδεχομένως να εξελιχθούν σε πιο εξελιγμένες απειλές.
Το Coyote Banking Trojan είναι εξοπλισμένο με έναν δύτη γεμάτο επιβλαβείς δυνατότητες
Το Coyote παρουσιάζει μια βελτιωμένη σειρά λειτουργιών, επιτρέποντάς του να εκτελεί διάφορες εντολές, όπως λήψη στιγμιότυπων οθόνης, καταγραφή πληκτρολογήσεων, τερματισμός διαδικασιών, τερματισμός λειτουργίας του μηχανήματος και χειρισμός του δρομέα. Συγκεκριμένα, μπορεί επίσης να προκαλέσει πάγωμα του μηχανήματος επικαλύπτοντας μια παραπλανητική οθόνη «Εργασία με ενημερώσεις…».
Στη γενική συμπεριφορά της, η Coyote ακολουθεί το τυπικό πρότυπο ενός σύγχρονου τραπεζικού Trojan. Με την ενεργοποίηση μιας συμβατής εφαρμογής σε ένα μολυσμένο σύστημα, το κακόβουλο λογισμικό επικοινωνεί με έναν διακομιστή Command-and-Control (C2) που ελέγχεται από τον εισβολέα. Στη συνέχεια, παρουσιάζει μια πειστική επικάλυψη phishing στην οθόνη του θύματος για την καταγραφή των πληροφοριών σύνδεσης. Ωστόσο, το Coyote διακρίνεται μέσω των έμπειρων τακτικών αποφυγής του έναντι πιθανών ανιχνεύσεων.
Σε αντίθεση με πολλά τραπεζικά Trojans που χρησιμοποιούν Windows Installers (MSI), εύκολα ανιχνεύσιμα από τους υπερασπιστές της κυβερνοασφάλειας, η Coyote επιλέγει το Squirrel. Το Squirrel είναι ένα νόμιμο εργαλείο ανοιχτού κώδικα που έχει σχεδιαστεί για την εγκατάσταση και την ενημέρωση εφαρμογών επιφάνειας εργασίας των Windows. Αξιοποιώντας το Squirrel, η Coyote προσπαθεί να καμουφλάρει τον κακόβουλο αρχικό φορτωτή του, παρουσιάζοντάς τον ως ένα φαινομενικά ακίνδυνο πακέτο ενημέρωσης.
Ο φορτωτής τελικού σταδίου προσθέτει ένα άλλο επίπεδο μοναδικότητας, καθώς κωδικοποιείται στη σχετικά ασυνήθιστη γλώσσα προγραμματισμού «Nim». Αυτό σηματοδοτεί μία από τις πρώτες περιπτώσεις όπου παρατηρήθηκε τραπεζικός Trojan χρησιμοποιώντας Nim.
Παραδοσιακά, τα τραπεζικά Trojans έχουν γραφτεί κυρίως στους Δελφούς, μια παλαιότερη γλώσσα που χρησιμοποιείται ευρέως σε διάφορες οικογένειες κακόβουλου λογισμικού. Καθώς οι μέθοδοι ανίχνευσης για κακόβουλο λογισμικό Delphi έχουν βελτιωθεί με τα χρόνια, η αποτελεσματικότητα των μολύνσεων μειώθηκε σταδιακά. Με την υιοθέτηση της Nim, οι προγραμματιστές της Coyote υιοθετούν μια πιο σύγχρονη γλώσσα προγραμματισμού, ενσωματώνοντας νέες δυνατότητες και επιτυγχάνοντας χαμηλότερο ποσοστό ανίχνευσης από το λογισμικό ασφαλείας.
Οι Τρώες Τραπεζών έχουν εξαπλωθεί για να γίνουν μια παγκόσμια επιχείρηση
Τα τελευταία χρόνια, η Βραζιλία έχει αναδειχθεί σε παγκόσμιο επίκεντρο για τραπεζικό κακόβουλο λογισμικό. Παρά το γεγονός ότι προέρχονται από τη Βραζιλία, αυτά τα απειλητικά προγράμματα έχουν αποδείξει την ικανότητα να διασχίζουν ωκεανούς και ηπείρους. Οι έμπειροι χειριστές πίσω από αυτές τις απειλές διαθέτουν μεγάλη εμπειρία στην ανάπτυξη τραπεζικών Trojans και εκδηλώνουν έντονο ενδιαφέρον να επεκτείνουν τις επιθέσεις τους σε παγκόσμια κλίμακα. Κατά συνέπεια, οι ερευνητές παρατήρησαν περιπτώσεις Τρώων της βραζιλιάνικης τράπεζας που στόχευαν οντότητες και άτομα τόσο εκτεταμένα όσο η Αυστραλία και η Ευρώπη.
Ένα αξιοσημείωτο παράδειγμα είναι το Grandoreiro , ένας Τρώος με παρόμοια χαρακτηριστικά που διείσδυσε με επιτυχία όχι μόνο στο Μεξικό και την Ισπανία, αλλά επέκτεινε την εμβέλειά του πολύ πέρα από αυτά τα σύνορα. Στο αποκορύφωμά της, αυτή η απειλή είχε παρουσία σε συνολικά 41 χώρες.
Ωστόσο, η επιτυχία αυτών των επιχειρήσεων προσέλκυσε έντονο έλεγχο από τις αρχές επιβολής του νόμου. Σε μια αξιοσημείωτη κίνηση που στοχεύει στη διατάραξη του υπόγειου οικοσυστήματος στον κυβερνοχώρο που διευκολύνει τέτοιου είδους κακόβουλο λογισμικό, η βραζιλιάνικη αστυνομία εκτέλεσε πέντε προσωρινά εντάλματα σύλληψης και 13 εντάλματα έρευνας και κατάσχεσης με στόχο τα άτομα που ευθύνονται για το Grandoreiro σε πέντε πολιτείες της Βραζιλίας.
