טרויאני בנקאות זאב ערבות
חוקרים חשפו לאחרונה טרויאני בנקאי ייחודי בשם 'Coyote', שנועד לאסוף אישורים עבור 61 יישומי בנקאות מקוונים. מה שמייחד את איום הקויוט הוא הכוונה הנרחבת שלו לאפליקציות מגזר הבנקאות, כאשר הרוב מרוכז בברזיל. טרויאני זה בולט בשילוב המורכב שלו של רכיבים בסיסיים ומתקדמים. באופן ספציפי, הוא מעסיק מתקין קוד פתוח חדש יחסית בשם Squirrel, מסתמך על NodeJs, משתמש בשפת התכנות הפחות נפוצה 'Nim' ומתגאה בלמעלה מתריסר פונקציות מזיקות. גילוי זה מסמל התקדמות ראויה לציון בשוק הפורח של ברזיל עבור תוכנות זדוניות פיננסיות, שעלול להוות אתגרים משמעותיים עבור צוותי אבטחה אם המיקוד שלה יתרחב עוד יותר.
תוכן העניינים
פושעי סייבר ברזילאים התמקדו באיומים טרויאניים בנקאיים
מפתחי תוכנות זדוניות ברזילאיות יצרו באופן פעיל סוסים טרויאניים בנקאיים כבר למעלה משני עשורים, החל משנת 2000 לפחות. לאורך 24 שנים של פיתוח מתמשך, שבהם הם ניווטו והתגברו בצורה מיומנת על שיטות אימות וטכנולוגיות הגנה מתפתחות, היצירתיות שלהם ניכרת, כפי שמדגים על ידי הופעתו של הטרויאני האחרון.
בעוד מומחים מדגישים כיום את Coyote כאיום המתמקד בעיקר בצרכנים ברזילאים, לארגונים יש סיבות משכנעות לפקח מקרוב על היכולות הפוטנציאליות שלו. מגמות עבר מצביעות על כך שמשפחות תוכנות זדוניות המצליחות בשוק הברזילאי מרחיבות לעתים קרובות את טווח ההגעה שלהן בינלאומי. לכן, תאגידים ובנקים חייבים להיות ערניים ומוכנים לטפל ב-Coyote אם השפעתו תתרחב.
שיקול מכריע נוסף עבור צוותי אבטחה טמון בהתקדמות ההיסטורית של סוסים טרויאניים בנקאיים המתפתחים לסוסי טרויאנים ודלתות אחוריות עם גישה ראשונית מלאה. מקרים בולטים כוללים את השינויים של Emotet ו- Trickbot , ולאחרונה, QakBot ו- Ursinif. דפוס זה מדגיש את החשיבות של תשומת לב להופעתם של סוסים טרויאניים בנקאיים חדשים, מכיוון שהם עלולים להתפתח לאיומים מתוחכמים יותר.
הטרויאני Coyote Banking מצויד בצוללן מלא ביכולות מזיקות
Coyote מציג מגוון משופר של פונקציונליות, המאפשר לו לבצע פקודות מגוונות כגון לכידת צילומי מסך, רישום הקשות, סיום תהליכים, כיבוי המכונה ותפעול הסמן. יש לציין שהוא יכול גם לגרום להקפאת מכונה על ידי שכבת-על מסך "עובד על עדכונים..." מטעה.
בהתנהגותו הכללית, Coyote דבק בדפוס הטיפוסי של טרויאני בנקאי מודרני. עם הפעלת אפליקציה תואמת במערכת נגועה, התוכנה הזדונית מתקשרת עם שרת פקודה ושליטה (C2) הנשלט על ידי תוקף. לאחר מכן, הוא מציג שכבת דיוג משכנעת על המסך של הקורבן כדי ללכוד פרטי התחברות. עם זאת, Coyote מבדיל את עצמו באמצעות טקטיקת ההתחמקות המיומנת שלה נגד גילויים פוטנציאליים.
שלא כמו סוסים טרויאניים בנקאיים רבים המשתמשים במתקיני Windows (MSI), שניתן לזהות בקלות על ידי מגיני אבטחת סייבר, Coyote בוחר בסנאי. Squirrel הוא כלי לגיטימי בקוד פתוח המיועד להתקנה ועדכון של אפליקציות שולחן העבודה של Windows. על ידי מינוף Squirrel, Coyote משתדלת להסוות את מטעין השלב הראשוני הזדוני שלה, ומציגה אותו כאריזת עדכונים בלתי מזיקה לכאורה.
מטעין השלב האחרון מוסיף עוד שכבה של ייחוד, בהיותו מקודד בשפת התכנות הבלתי נפוצה יחסית 'נים'. זה מסמן את אחד המקרים הראשונים שבהם נצפה טרויאני בנקאי באמצעות נים.
באופן מסורתי, סוסים טרויאניים בנקאיים נכתבו בעיקר בדלפי, שפה ישנה יותר המופעלת באופן נרחב במשפחות תוכנות זדוניות שונות. ככל ששיטות הזיהוי של תוכנות זדוניות של Delphi השתפרו במהלך השנים, יעילות ההדבקות ירדה בהדרגה. עם האימוץ של נים, מפתחי Coyote מאמצים שפת תכנות מודרנית יותר, משלבת תכונות חדשות והשגת שיעור זיהוי נמוך יותר על ידי תוכנת אבטחה.
סוסים טרויאניים בנקאיים התפשטו והפכו לפעילות גלובלית
בשנים האחרונות, ברזיל התגלתה כמוקד עולמי של תוכנות זדוניות בנקאיות. למרות שמקורן בברזיל, התוכניות המאיימות הללו הוכיחו את היכולת לחצות אוקיינוסים ויבשות. המפעילים המיומנים שמאחורי האיומים הללו הם בעלי ניסיון רב בפיתוח סוסים טרויאניים בנקאיים ומפגינים עניין רב בהרחבת ההתקפות שלהם בקנה מידה עולמי. כתוצאה מכך, חוקרים הבחינו במקרים של סוסים טרויאניים של בנקים ברזילאים המכוונים לגופים ויחידים מרחיקי לכת כמו אוסטרליה ואירופה.
דוגמה ראויה לציון היא גראנדוריירו , טרויאני עם מאפיינים דומים שחדר בהצלחה לא רק למקסיקו וספרד אלא גם הרחיב את טווח ההגעה שלו הרבה מעבר לגבולות אלה. בשיאו, לאיום זה היה נוכחות בסך הכל ב-41 מדינות.
עם זאת, הצלחתן של פעולות אלה גררה בדיקה מוגברת מצד רשויות אכיפת החוק. בצעד בולט שמטרתו לשבש את מערכת הסייבר התת-קרקעית המאפשרת תוכנה זדונית כזו, משטרת ברזיל הוציאה לפועל חמישה צווי מעצר זמניים ו-13 צווי חיפוש ותפיסה המכוונים לאנשים האחראים על גראנדוריירו בחמש מדינות בברזיל.
