Coyote Banking Troijalainen
Tutkijat löysivät äskettäin ainutlaatuisen pankkitroijalaisen nimeltä "Coyote", joka on suunniteltu keräämään tunnistetietoja 61 verkkopankkisovellukselle. Coyote-uhan erottaa sen laaja kohdistaminen pankkisektorin sovelluksiin, joista suurin osa on keskittynyt Brasiliaan. Tämä troijalainen erottuu monimutkaisen perus- ja edistyneiden komponenttien yhdistelmästään. Tarkemmin sanottuna se käyttää suhteellisen uutta avoimen lähdekoodin asennusohjelmaa nimeltä Squirrel, luottaa NodeJ:ihin, käyttää vähemmän yleistä ohjelmointikieltä "Nim" ja tarjoaa yli tusinaa haitallista toimintoa. Tämä löytö merkitsee huomattavaa edistystä Brasilian kukoistavilla rahoitushaittaohjelmien markkinoilla, mikä saattaa aiheuttaa merkittäviä haasteita tietoturvatiimeille, jos sen painopiste laajenee entisestään.
Sisällysluettelo
Brasilian kyberrikolliset ovat keskittyneet troijalaisten uhkien pankkiin
Brasilialaiset haittaohjelmien kehittäjät ovat aktiivisesti kehittäneet pankkitroijalaisia yli kahden vuosikymmenen ajan, ja ne ovat peräisin vähintään 2000-luvulta. 24 vuoden jatkuvan kehityksen aikana, jossa he ovat taitavasti navigoineet ja voittaneet kehittyviä todennusmenetelmiä ja suojaustekniikoita, heidän luovuutensa on ilmeistä, mistä on esimerkkinä mm. uusimman troijalaisen ilmestyminen.
Vaikka asiantuntijat korostavat tällä hetkellä Coyotetta ensisijaisesti brasilialaisten kuluttajien uhkana, organisaatioilla on painavia syitä seurata sen mahdollisia ominaisuuksia tarkasti. Menneet trendit osoittavat, että Brasilian markkinoilla menestyneet haittaohjelmaperheet laajentavat usein kattavuuttaan kansainvälisesti. Siksi yritysten ja pankkien on oltava valppaita ja valmiita puuttumaan Coyotteen, jos sen vaikutus laajenee.
Toinen tärkeä tietoturvatiimien näkökohta on pankkitroijalaisten historiallinen kehitys, joka kehittyy täysivaltaisiksi alkupääsytroijalaisiksi ja takaoveiksi. Huomattavia esimerkkejä ovat muunnokset Emotetista ja Trickbotista sekä viime aikoina QakBotista ja Ursinifista. Tämä malli korostaa, että on tärkeää kiinnittää huomiota uusien pankkitroijalaisten syntymiseen, koska niistä voi kehittyä kehittyneempiä uhkia.
Coyote Banking Troijalainen on varustettu sukeltajalla, joka on täynnä haitallisia ominaisuuksia
Coyotessa on parannettu valikoima toimintoja, joiden avulla se voi suorittaa erilaisia komentoja, kuten kuvakaappauksia, kirjata näppäinpainalluksia, lopettaa prosesseja, sammuttaa koneen ja manipuloida kohdistinta. Erityisesti se voi myös saada koneen jumittua asettamalla päälle petollisen "Working on updates..." -näytön.
Yleisessä käytöksessään Coyote noudattaa nykyaikaisen pankkitroijalaisen tyypillistä mallia. Kun yhteensopiva sovellus aktivoituu tartunnan saaneessa järjestelmässä, haittaohjelma kommunikoi hyökkääjän ohjaaman Command-and-Control (C2) -palvelimen kanssa. Sen jälkeen se esittää vakuuttavan phishing-peittokuvan uhrin näytöllä kirjautumistietojen tallentamiseksi. Coyote erottuu kuitenkin taitavista välttelytaktiikoistaan mahdollisia havaintoja vastaan.
Toisin kuin monet pankkitroijalaiset, jotka käyttävät Windows Installereja (MSI), jotka kyberturvallisuuden puolustajat havaitsevat helposti, Coyote valitsee Squirrelin. Squirrel on laillinen avoimen lähdekoodin työkalu, joka on suunniteltu Windowsin työpöytäsovellusten asentamiseen ja päivittämiseen. Hyödyntämällä Squirrelia, Coyote pyrkii naamioimaan haitallisen alkuvaiheen latausohjelmansa esitellen sen näennäisen vaarattomana päivityspakkaajana.
Viimeisen vaiheen latausohjelma lisää toisen kerroksen ainutlaatuisuutta, koska se on koodattu suhteellisen harvinaisella ohjelmointikielellä "Nim". Tämä on yksi ensimmäisistä tapauksista, joissa pankkitroijalainen on havaittu käyttämällä Nim.
Perinteisesti pankkitroijalaiset on kirjoitettu pääasiassa Delphillä, vanhemmalla kielellä, jota käytetään laajalti useissa haittaohjelmaperheissä. Delphi-haittaohjelmien havaitsemismenetelmien parantuessa vuosien varrella tartuntojen tehokkuus heikkeni vähitellen. Nimin käyttöönoton myötä Coyoten kehittäjät omaksuvat nykyaikaisemman ohjelmointikielen, joka sisältää uusia ominaisuuksia ja saavuttaa alhaisemman tietoturvaohjelmiston havaitsemisnopeuden.
Pankkitroijalaiset ovat levinneet maailmanlaajuiseksi toiminnaksi
Brasilia on viime vuosina noussut pankkihaittaohjelmien maailmanlaajuiseksi keskukseksi. Vaikka nämä uhkaavat ohjelmat ovat peräisin Brasiliasta, ne ovat osoittaneet kyvyn kulkea valtamerten ja maanosien läpi. Näiden uhkien takana olevilla taitavilla toimijoilla on laaja kokemus pankkitroijalaisten kehittämisestä ja he ovat erittäin kiinnostuneita hyökkäysten laajentamisesta maailmanlaajuisesti. Näin ollen tutkijat ovat havainneet tapauksia, joissa brasilialaiset pankkitroijalaiset ovat kohdistaneet kohteena niin kauaskantoisia yhteisöjä ja henkilöitä kuin Australia ja Eurooppa.
Yksi huomionarvoinen esimerkki on Grandoreiro , troijalainen, jolla on samanlaiset ominaisuudet ja joka soluttautui menestyksekkäästi paitsi Meksikoon ja Espanjaan, myös laajensi ulottuvuuttaan näiden rajojen ulkopuolelle. Huipussaan tämä uhka oli läsnä yhteensä 41 maassa.
Näiden operaatioiden menestys sai kuitenkin lainvalvontaviranomaisten tiukemman valvonnan. Brasilian poliisi toteutti viisi väliaikaista pidätysmääräystä sekä 13 etsintä- ja takavarikkomääräystä, jotka kohdistuivat Grandoreiron vastuussa oleviin henkilöihin viidessä Brasilian osavaltiossa.
