Coyote bankarski trojanac
Istraživači su nedavno otkrili jedinstveni bankarski trojanac pod nazivom 'Coyote', dizajniran za prikupljanje vjerodajnica za 61 aplikaciju za internetsko bankarstvo. Ono što izdvaja prijetnju Coyote je njezino opsežno ciljanje na aplikacije bankarskog sektora, s većinom koncentriranom u Brazilu. Ovaj trojanac ističe se svojom zamršenom kombinacijom osnovnih i naprednih komponenti. Konkretno, koristi relativno novi instalacijski program otvorenog koda koji se zove Squirrel, oslanja se na NodeJs, koristi manje uobičajeni programski jezik 'Nim' i može se pohvaliti s više od desetak štetnih funkcija. Ovo otkriće označava napredak vrijedan pažnje na cvjetajućem brazilskom tržištu financijskog zlonamjernog softvera, potencijalno predstavljajući značajne izazove za sigurnosne timove ako se njegov fokus dodatno proširi.
Sadržaj
Brazilski kibernetički kriminalci usredotočeni su na prijetnje bankovnim trojancima
Brazilski programeri zlonamjernog softvera aktivno stvaraju bankarske trojance više od dva desetljeća, barem od 2000. godine. Tijekom 24 godine kontinuiranog razvoja, gdje su vješto upravljali i prevladavali evoluirajuće metode provjere autentičnosti i tehnologije zaštite, njihova je kreativnost očigledna, što pokazuje primjer pojava najnovijeg trojanca.
Dok stručnjaci trenutačno ističu Coyote kao prijetnju prvenstveno usredotočenu na brazilske potrošače, organizacije imaju uvjerljive razloge pomno pratiti njegove potencijalne mogućnosti. Prošli trendovi pokazuju da obitelji zlonamjernog softvera uspješne na brazilskom tržištu često proširuju svoj doseg na međunarodnoj razini. Stoga, korporacije i banke moraju biti oprezne i spremne riješiti problem Coyotea ako se njegov utjecaj proširi.
Drugo ključno razmatranje za sigurnosne timove leži u povijesnom napredovanju bankovnih trojanaca koji su evoluirali u potpuno razvijene trojance za početni pristup i stražnja vrata. Značajni primjeri uključuju transformacije Emoteta i Trickbota i, u novije vrijeme, QakBota i Ursinifa. Ovaj obrazac naglašava važnost obraćanja pozornosti na pojavu novih bankarskih trojanaca, jer bi oni potencijalno mogli evoluirati u sofisticiranije prijetnje.
Bankarski trojanac Coyote opremljen je roniocem punim štetnih sposobnosti
Coyote pokazuje poboljšani raspon funkcionalnosti, što mu omogućuje izvršavanje različitih naredbi kao što su snimanje snimki zaslona, bilježenje pritisaka tipki, prekid procesa, gašenje stroja i manipuliranje kursorom. Značajno, također može potaknuti zamrzavanje stroja prekrivanjem varljivog zaslona 'Rad na ažuriranjima...'.
U svom općenitom ponašanju, Coyote se pridržava tipičnog obrasca modernog bankarskog trojanca. Nakon aktivacije kompatibilne aplikacije na zaraženom sustavu, zlonamjerni softver komunicira s Command-and-Control (C2) poslužiteljem kojim upravlja napadač. Zatim predstavlja uvjerljiv prekrivač krađe identiteta na žrtvinom zaslonu kako bi uhvatio podatke za prijavu. Međutim, Coyote se ističe svojom vještom taktikom izbjegavanja potencijalnih otkrivanja.
Za razliku od mnogih bankarskih trojanaca koji koriste Windows Installers (MSI), koje branitelji kibernetičke sigurnosti lako otkrivaju, Coyote se odlučuje za Squirrel. Squirrel je legitiman alat otvorenog koda dizajniran za instalaciju i ažuriranje aplikacija za radnu površinu sustava Windows. Korištenjem Squirrela, Coyote nastoji zakamuflirati svoj zlonamjerni učitavač u početnoj fazi, predstavljajući ga kao naizgled bezopasan paket za ažuriranje.
Učitavač posljednje faze dodaje još jedan sloj jedinstvenosti, jer je kodiran u relativno neuobičajenom programskom jeziku 'Nim'. Ovo označava jedan od prvih slučajeva gdje je primijećen bankarski trojanac koji koristi Nim.
Tradicionalno, bankarski trojanci pretežno su pisani u Delphiju, starijem jeziku koji se široko koristi u raznim obiteljima zlonamjernog softvera. Kako su se metode otkrivanja zlonamjernog softvera Delphi poboljšavale tijekom godina, učinkovitost infekcija postupno je opadala. Usvajanjem Nima, Coyoteovi programeri prihvaćaju moderniji programski jezik, ugrađujući nove značajke i postižući nižu stopu otkrivanja od strane sigurnosnog softvera.
Bankarski trojanci su se proširili i postali globalna operacija
Posljednjih godina Brazil je postao globalni epicentar bankovnog zlonamjernog softvera. Unatoč tome što potječu iz Brazila, ovi prijeteći programi pokazali su sposobnost prelaska oceana i kontinenata. Vješti operateri koji stoje iza ovih prijetnji posjeduju veliko iskustvo u razvoju bankovnih trojanaca i pokazuju veliko zanimanje za širenje svojih napada na globalnoj razini. Shodno tome, istraživači su primijetili slučajeve brazilskih bankovnih trojanaca koji ciljaju entitete i pojedince dalekosežne poput Australije i Europe.
Jedan primjer vrijedan pažnje je Grandoreiro , Trojanac sa sličnim karakteristikama koji se uspješno infiltrirao ne samo u Meksiko i Španjolsku, već je također proširio svoj doseg daleko izvan tih granica. Na svom vrhuncu, ova je prijetnja bila prisutna u ukupno 41 zemlji.
Međutim, uspjeh ovih operacija privukao je pojačanu pozornost policijskih snaga. U značajnom potezu usmjerenom na ometanje kibernetičkog podzemnog ekosustava koji omogućava takav zlonamjerni softver, brazilska policija izvršila je pet privremenih naloga za uhićenje i 13 naloga za pretragu i zapljenu usmjerenih na pojedince odgovorne za Grandoreiro u pet država u Brazilu.
