تروجان بانکی کایوت
محققان اخیراً یک تروجان بانکی منحصر به فرد به نام "Coyote" را کشف کرده اند که برای جمع آوری اعتبار برای 61 برنامه بانکی آنلاین طراحی شده است. آنچه تهدید Coyote را متمایز می کند، هدف قرار دادن گسترده برنامه های بخش بانکی است که اکثریت آن در برزیل متمرکز است. این تروجان به دلیل ترکیب پیچیده ای از اجزای اولیه و پیشرفته خود متمایز است. به طور خاص، از یک نصبکننده متنباز نسبتاً جدید به نام Squirrel استفاده میکند، به NodeJs متکی است، از زبان برنامهنویسی کمتر رایج «Nim» استفاده میکند و دارای بیش از دوجین عملکرد مضر است. این کشف نشاندهنده پیشرفت قابلتوجهی در بازار شکوفای بدافزار مالی برزیل است که در صورت گسترش بیشتر تمرکز تیمهای امنیتی، چالشهای بالقوهای را برای تیمهای امنیتی ایجاد میکند.
فهرست مطالب
مجرمان سایبری برزیل بر تهدیدات تروجان بانکی متمرکز شده اند
توسعه دهندگان بدافزار برزیلی بیش از دو دهه است که به طور فعال تروجان های بانکی تولید می کنند که قدمت آن به حداقل سال 2000 باز می گردد. ظهور آخرین تروجان
در حالی که کارشناسان در حال حاضر کایوت را به عنوان تهدیدی که عمدتاً بر مصرف کنندگان برزیلی متمرکز است برجسته می کنند، سازمان ها دلایل قانع کننده ای برای نظارت دقیق بر قابلیت های بالقوه آن دارند. روندهای گذشته نشان می دهد که خانواده های بدافزار موفق در بازار برزیل اغلب دامنه دسترسی خود را در سطح بین المللی گسترش می دهند. بنابراین، شرکتها و بانکها باید هوشیار بوده و آماده برخورد با Coyote در صورت گسترش تأثیر آن باشند.
یکی دیگر از ملاحظات مهم برای تیمهای امنیتی، پیشرفت تاریخی تروجانهای بانکی است که به تروجانها و درهای پشتی دسترسی اولیه کاملاً پیشرفته تبدیل شدهاند. نمونه های قابل توجه عبارتند از تبدیل Emotet و Trickbot و اخیراً QakBot و Ursinif. این الگو بر اهمیت توجه به ظهور تروجانهای بانکی جدید تأکید میکند، زیرا میتوانند به طور بالقوه به تهدیدهای پیچیدهتری تبدیل شوند.
تروجان بانکی Coyote به غواصی پر از قابلیت های مضر مجهز شده است
Coyote طیف گستردهای از عملکردها را به نمایش میگذارد که به آن اجازه میدهد دستورات مختلفی مانند گرفتن اسکرین شات، ثبت ضربههای کلید، پایان دادن به فرآیندها، خاموش کردن دستگاه و دستکاری مکاننما را انجام دهد. قابل ذکر است، همچنین میتواند با پوشاندن صفحه فریبنده «کار بر روی بهروزرسانیها…» باعث یخ زدن دستگاه شود.
Coyote در رفتار کلی خود به الگوی معمولی یک تروجان بانکی مدرن پایبند است. پس از فعال شدن یک برنامه سازگار در یک سیستم آلوده، بدافزار با یک سرور فرمان و کنترل (C2) که توسط مهاجم کنترل می شود ارتباط برقرار می کند. سپس یک پوشش فیشینگ قانع کننده بر روی صفحه نمایش قربانی برای گرفتن اطلاعات ورود به سیستم ارائه می کند. با این حال، Coyote خود را از طریق تاکتیکهای فرار ماهرانه خود در برابر شناساییهای بالقوه متمایز میکند.
برخلاف بسیاری از تروجانهای بانکی که از Windows Installers (MSI) استفاده میکنند، که به راحتی توسط مدافعان امنیت سایبری قابل شناسایی است، Coyote Squirrel را انتخاب میکند. Squirrel یک ابزار منبع باز قانونی است که برای نصب و به روز رسانی برنامه های دسکتاپ ویندوز طراحی شده است. با استفاده از Squirrel، Coyote تلاش می کند تا لودر مرحله اولیه مخرب خود را استتار کند و آن را به عنوان یک بسته بندی به روز رسانی به ظاهر بی ضرر معرفی کند.
لودر مرحله آخر یک لایه منحصر به فرد دیگر اضافه می کند که در زبان برنامه نویسی نسبتاً غیر معمول "Nim" کدگذاری شده است. این یکی از اولین مواردی است که یک تروجان بانکی با استفاده از Nim مشاهده شده است.
بهطور سنتی، تروجانهای بانکی عمدتاً به زبان دلفی نوشته میشوند، یک زبان قدیمیتر که به طور گسترده در خانوادههای مختلف بدافزار استفاده میشود. با بهبود روشهای تشخیص بدافزار دلفی در طول سالها، کارایی آلودگیها به تدریج کاهش یافت. با استفاده از Nim، توسعهدهندگان Coyote زبان برنامهنویسی مدرنتری را پذیرفتند، ویژگیهای جدیدی را در خود جای داده و به نرخ تشخیص پایینتری توسط نرمافزار امنیتی دست مییابند.
تروجان های بانکی برای تبدیل شدن به یک عملیات جهانی گسترش یافته اند
در سال های اخیر، برزیل به عنوان یک مرکز جهانی بدافزارهای بانکی مطرح شده است. علیرغم منشا این برنامه ها در برزیل، این برنامه های تهدید کننده توانایی عبور از اقیانوس ها و قاره ها را نشان داده اند. اپراتورهای ماهر پشت این تهدیدات دارای تجربه گسترده ای در توسعه تروجان های بانکی هستند و علاقه زیادی به گسترش حملات خود در مقیاس جهانی نشان می دهند. در نتیجه، محققان نمونههایی از تروجانهای بانک برزیلی را مشاهده کردهاند که نهادها و افراد گستردهای مانند استرالیا و اروپا را هدف قرار میدهند.
یکی از نمونه های قابل توجه Grandoreiro است، یک تروجان با ویژگی های مشابه که با موفقیت نه تنها در مکزیک و اسپانیا نفوذ کرد، بلکه دامنه نفوذ خود را به فراتر از آن مرزها نیز گسترش داد. این تهدید در اوج خود در مجموع در 41 کشور حضور داشت.
با این حال، موفقیت این عملیات مورد بررسی شدید مجریان قانون قرار گرفت. در اقدامی قابل توجه با هدف ایجاد اختلال در اکوسیستم زیرزمینی سایبری که چنین بدافزاری را تسهیل میکند، پلیس برزیل پنج حکم بازداشت موقت و 13 حکم جستجو و توقیف را با هدف قرار دادن افراد مسئول Grandoreiro در پنج ایالت برزیل اجرا کرد.