تروجان بانکی کایوت

محققان اخیراً یک تروجان بانکی منحصر به فرد به نام "Coyote" را کشف کرده اند که برای جمع آوری اعتبار برای 61 برنامه بانکی آنلاین طراحی شده است. آنچه تهدید Coyote را متمایز می کند، هدف قرار دادن گسترده برنامه های بخش بانکی است که اکثریت آن در برزیل متمرکز است. این تروجان به دلیل ترکیب پیچیده ای از اجزای اولیه و پیشرفته خود متمایز است. به طور خاص، از یک نصب‌کننده متن‌باز نسبتاً جدید به نام Squirrel استفاده می‌کند، به NodeJs متکی است، از زبان برنامه‌نویسی کمتر رایج «Nim» استفاده می‌کند و دارای بیش از دوجین عملکرد مضر است. این کشف نشان‌دهنده پیشرفت قابل‌توجهی در بازار شکوفای بدافزار مالی برزیل است که در صورت گسترش بیشتر تمرکز تیم‌های امنیتی، چالش‌های بالقوه‌ای را برای تیم‌های امنیتی ایجاد می‌کند.

مجرمان سایبری برزیل بر تهدیدات تروجان بانکی متمرکز شده اند

توسعه دهندگان بدافزار برزیلی بیش از دو دهه است که به طور فعال تروجان های بانکی تولید می کنند که قدمت آن به حداقل سال 2000 باز می گردد. ظهور آخرین تروجان

در حالی که کارشناسان در حال حاضر کایوت را به عنوان تهدیدی که عمدتاً بر مصرف کنندگان برزیلی متمرکز است برجسته می کنند، سازمان ها دلایل قانع کننده ای برای نظارت دقیق بر قابلیت های بالقوه آن دارند. روندهای گذشته نشان می دهد که خانواده های بدافزار موفق در بازار برزیل اغلب دامنه دسترسی خود را در سطح بین المللی گسترش می دهند. بنابراین، شرکت‌ها و بانک‌ها باید هوشیار بوده و آماده برخورد با Coyote در صورت گسترش تأثیر آن باشند.

یکی دیگر از ملاحظات مهم برای تیم‌های امنیتی، پیشرفت تاریخی تروجان‌های بانکی است که به تروجان‌ها و درهای پشتی دسترسی اولیه کاملاً پیشرفته تبدیل شده‌اند. نمونه های قابل توجه عبارتند از تبدیل Emotet و Trickbot و اخیراً QakBot و Ursinif. این الگو بر اهمیت توجه به ظهور تروجان‌های بانکی جدید تأکید می‌کند، زیرا می‌توانند به طور بالقوه به تهدیدهای پیچیده‌تری تبدیل شوند.

تروجان بانکی Coyote به غواصی پر از قابلیت های مضر مجهز شده است

Coyote طیف گسترده‌ای از عملکردها را به نمایش می‌گذارد که به آن اجازه می‌دهد دستورات مختلفی مانند گرفتن اسکرین شات، ثبت ضربه‌های کلید، پایان دادن به فرآیندها، خاموش کردن دستگاه و دستکاری مکان‌نما را انجام دهد. قابل ذکر است، همچنین می‌تواند با پوشاندن صفحه فریبنده «کار بر روی به‌روزرسانی‌ها…» باعث یخ زدن دستگاه شود.

Coyote در رفتار کلی خود به الگوی معمولی یک تروجان بانکی مدرن پایبند است. پس از فعال شدن یک برنامه سازگار در یک سیستم آلوده، بدافزار با یک سرور فرمان و کنترل (C2) که توسط مهاجم کنترل می شود ارتباط برقرار می کند. سپس یک پوشش فیشینگ قانع کننده بر روی صفحه نمایش قربانی برای گرفتن اطلاعات ورود به سیستم ارائه می کند. با این حال، Coyote خود را از طریق تاکتیک‌های فرار ماهرانه خود در برابر شناسایی‌های بالقوه متمایز می‌کند.

برخلاف بسیاری از تروجان‌های بانکی که از Windows Installers (MSI) استفاده می‌کنند، که به راحتی توسط مدافعان امنیت سایبری قابل شناسایی است، Coyote Squirrel را انتخاب می‌کند. Squirrel یک ابزار منبع باز قانونی است که برای نصب و به روز رسانی برنامه های دسکتاپ ویندوز طراحی شده است. با استفاده از Squirrel، Coyote تلاش می کند تا لودر مرحله اولیه مخرب خود را استتار کند و آن را به عنوان یک بسته بندی به روز رسانی به ظاهر بی ضرر معرفی کند.

لودر مرحله آخر یک لایه منحصر به فرد دیگر اضافه می کند که در زبان برنامه نویسی نسبتاً غیر معمول "Nim" کدگذاری شده است. این یکی از اولین مواردی است که یک تروجان بانکی با استفاده از Nim مشاهده شده است.

به‌طور سنتی، تروجان‌های بانکی عمدتاً به زبان دلفی نوشته می‌شوند، یک زبان قدیمی‌تر که به طور گسترده در خانواده‌های مختلف بدافزار استفاده می‌شود. با بهبود روش‌های تشخیص بدافزار دلفی در طول سال‌ها، کارایی آلودگی‌ها به تدریج کاهش یافت. با استفاده از Nim، توسعه‌دهندگان Coyote زبان برنامه‌نویسی مدرن‌تری را پذیرفتند، ویژگی‌های جدیدی را در خود جای داده و به نرخ تشخیص پایین‌تری توسط نرم‌افزار امنیتی دست می‌یابند.

تروجان های بانکی برای تبدیل شدن به یک عملیات جهانی گسترش یافته اند

در سال های اخیر، برزیل به عنوان یک مرکز جهانی بدافزارهای بانکی مطرح شده است. علیرغم منشا این برنامه ها در برزیل، این برنامه های تهدید کننده توانایی عبور از اقیانوس ها و قاره ها را نشان داده اند. اپراتورهای ماهر پشت این تهدیدات دارای تجربه گسترده ای در توسعه تروجان های بانکی هستند و علاقه زیادی به گسترش حملات خود در مقیاس جهانی نشان می دهند. در نتیجه، محققان نمونه‌هایی از تروجان‌های بانک برزیلی را مشاهده کرده‌اند که نهادها و افراد گسترده‌ای مانند استرالیا و اروپا را هدف قرار می‌دهند.

یکی از نمونه های قابل توجه Grandoreiro است، یک تروجان با ویژگی های مشابه که با موفقیت نه تنها در مکزیک و اسپانیا نفوذ کرد، بلکه دامنه نفوذ خود را به فراتر از آن مرزها نیز گسترش داد. این تهدید در اوج خود در مجموع در 41 کشور حضور داشت.

با این حال، موفقیت این عملیات مورد بررسی شدید مجریان قانون قرار گرفت. در اقدامی قابل توجه با هدف ایجاد اختلال در اکوسیستم زیرزمینی سایبری که چنین بدافزاری را تسهیل می‌کند، پلیس برزیل پنج حکم بازداشت موقت و 13 حکم جستجو و توقیف را با هدف قرار دادن افراد مسئول Grandoreiro در پنج ایالت برزیل اجرا کرد.