Coyote Banking Trooja
Teadlased leidsid hiljuti unikaalse pangandustrooja nimega Coyote, mis on mõeldud 61 Interneti-pangarakenduse mandaatide kogumiseks. Coyote'i ohu eristab selle laialdane sihtimine pangandussektori rakendustele, millest suurem osa on koondunud Brasiiliasse. See troojalane paistab silma oma põhi- ja täiustatud komponentide keeruka kombinatsiooni poolest. Täpsemalt, see kasutab suhteliselt uut avatud lähtekoodiga installerit nimega Squirrel, tugineb NodeJ-dele, kasutab vähem levinud programmeerimiskeelt Nim ja sellel on üle tosina kahjuliku funktsiooni. See avastus tähistab märkimisväärset edasiminekut Brasiilia õitsval finantspahavaraturul, mis võib tekitada turvameeskondadele olulisi väljakutseid, kui selle fookus peaks veelgi laienema.
Sisukord
Brasiilia küberkurjategijad on keskendunud Trooja ohtudele
Brasiilia pahavaraarendajad on aktiivselt loonud pangandustroojalasi juba üle kahe aastakümne, ulatudes tagasi vähemalt 2000. aastani. 24-aastase pideva arenduse jooksul, kus nad on oskuslikult navigeeritud ning arenevatest autentimismeetoditest ja kaitsetehnoloogiatest üle saanud, on nende loovus ilmne, nagu näiteks uusima troojalase ilmumine.
Kuigi eksperdid tõstavad praegu esile Coyote'i kui ohtu, mis keskendub peamiselt Brasiilia tarbijatele, on organisatsioonidel kaalukaid põhjusi selle potentsiaalseid võimalusi tähelepanelikult jälgida. Varasemad suundumused näitavad, et Brasiilia turul edukad pahavarapered laiendavad sageli oma haaret rahvusvaheliselt. Seetõttu peavad ettevõtted ja pangad olema valvsad ja valmis Coyote'iga tegelema, kui selle mõju peaks laienema.
Teine oluline kaalutlus turvameeskondade jaoks seisneb pangandustroojalaste ajaloolises arengus, mis on arenenud täisväärtuslikeks esialgse juurdepääsuga troojalasteks ja tagauksteks. Märkimisväärsed juhtumid hõlmavad Emoteti ja Trickboti ning hiljuti ka QakBoti ja Ursinifi teisendusi. See muster rõhutab, kui oluline on pöörata tähelepanu uute pangandustroojalaste esilekerkimisele, kuna need võivad potentsiaalselt areneda keerukamateks ohtudeks.
Coyote Banking troojalane on varustatud sukeldujaga, mis on täis kahjulikke võimeid
Coyote'il on täiustatud funktsioonide valik, mis võimaldab tal täita erinevaid käske, nagu ekraanipiltide jäädvustamine, klahvivajutuste logimine, protsesside lõpetamine, masina väljalülitamine ja kursoriga manipuleerimine. Märkimisväärne on see, et see võib põhjustada ka masina hangumise, kattes petliku ekraani „Värskenduste kallal töötamine…”.
Oma üldises käitumises järgib Coyote tänapäevase pangandustroojalase tüüpilist mustrit. Nakatunud süsteemis ühilduva rakenduse aktiveerimisel suhtleb pahavara ründaja juhitava käsu-ja juhtimisserveriga (C2). Seejärel kuvab see ohvri ekraanil veenva andmepüügi ülekatte, et jäädvustada sisselogimisteave. Kuid Coyote eristab end oma vilunud kõrvalehoidmistaktikaga potentsiaalsete avastamiste vastu.
Erinevalt paljudest pangandustroojalastest, mis kasutavad Windows Installerit (MSI), mida küberjulgeolekukaitsjad kergesti tuvastavad, valib Coyote Squirreli. Squirrel on seaduslik avatud lähtekoodiga tööriist, mis on loodud Windowsi töölauarakenduste installimiseks ja värskendamiseks. Oravat võimendades püüab Coyote oma pahatahtlikku alglaadijat varjata, esitledes seda näiliselt kahjutu värskenduste pakendajana.
Viimase etapi laadija lisab veel ühe unikaalsuse kihi, kuna see on kodeeritud suhteliselt haruldases programmeerimiskeeles Nim. See on üks esimesi juhtumeid, kus Nimi kasutavat pangatroojalast on täheldatud.
Traditsiooniliselt on pangandustroojalased kirjutatud peamiselt Delphis, vanemas keeles, mida kasutatakse laialdaselt erinevates pahavaraperekondades. Kuna Delphi pahavara tuvastamise meetodid on aastate jooksul paranenud, vähenes nakkuste tõhusus järk-järgult. Nimi kasutuselevõtuga võtavad Coyote'i arendajad omaks kaasaegsema programmeerimiskeele, mis sisaldab uusi funktsioone ja saavutab turvatarkvara madalama tuvastamissageduse.
Pangandustroojalased on levinud ülemaailmseks operatsiooniks
Viimastel aastatel on Brasiilia tõusnud panganduse pahavara ülemaailmseks epitsentriks. Vaatamata Brasiilia päritolule on need ähvardavad programmid näidanud suutlikkust läbida ookeanid ja mandrid. Nende ohtude taga tegutsevatel vilunud operaatoritel on laialdased kogemused pangandustroojalaste arendamisel ja nad näitavad üles suurt huvi oma rünnakute laiendamise vastu ülemaailmsel tasandil. Sellest tulenevalt on teadlased täheldanud juhtumeid, kus Brasiilia pankade troojalased on sihivad nii kaugeleulatuvaid üksusi ja üksikisikuid nagu Austraalia ja Euroopa.
Üks tähelepanuväärne näide on Grandoreiro , sarnaste omadustega troojalane, mis ei tunginud edukalt mitte ainult Mehhikosse ja Hispaaniasse, vaid laiendas oma haaret ka nendest piiridest kaugemale. Tippajal oli seda ohtu kokku 41 riigis.
Nende operatsioonide edu tõmbas aga õiguskaitseorganite kõrgendatud tähelepanu alla. Märkimisväärse sammuna, mille eesmärk oli häirida sellist pahavara soodustavat maa-alust küberökosüsteemi, täitis Brasiilia politsei viis ajutist vahistamismäärust ning 13 läbiotsimis- ja arestimismäärust, mis olid suunatud Grandoreiro eest vastutavatele isikutele viies Brasiilia osariigis.
