Coyote Banking trójai
A kutatók a közelmúltban fedezték fel a Coyote nevű egyedi banki trójai programot, amelyet 61 online banki alkalmazás hitelesítő adatainak begyűjtésére terveztek. A Coyote fenyegetést az különbözteti meg, hogy kiterjedt a bankszektorbeli alkalmazásokra irányul, amelyek többsége Brazíliában összpontosul. Ez a trójai az alapvető és fejlett összetevők bonyolult kombinációjával tűnik ki. Pontosabban, a Squirrel nevű, viszonylag új nyílt forráskódú telepítőt alkalmazza, NodeJ-re támaszkodik, a kevésbé elterjedt „Nim” programozási nyelvet használja, és több mint egy tucat káros funkcióval büszkélkedhet. Ez a felfedezés figyelemre méltó előrelépést jelent Brazíliában a pénzügyi kártevők virágzó piacán, és potenciálisan jelentős kihívások elé állíthatja a biztonsági csapatokat, amennyiben a fókusz tovább bővül.
Tartalomjegyzék
A brazil kiberbűnözők a banki trójai fenyegetésekre összpontosítottak
A brazil malware-fejlesztők több mint két évtizede dolgoznak aktívan banki trójaiakat, amelyek legalább 2000-re nyúlnak vissza. A 24 éves folyamatos fejlesztés során, ahol ügyesen navigáltak és legyőzték a fejlődő hitelesítési módszereket és védelmi technológiákat, kreativitásuk nyilvánvaló, amint azt a legújabb trójai megjelenése.
Míg a szakértők jelenleg a Coyote-ot elsősorban a brazil fogyasztókat érintő fenyegetésként emelik ki, a szervezeteknek nyomós okuk van arra, hogy szorosan figyelemmel kísérjék potenciális képességeit. A múltbeli trendek azt mutatják, hogy a brazil piacon sikeres malware-családok gyakran kiterjesztik nemzetközi hatókörüket. Ezért a vállalatoknak és a bankoknak ébernek kell lenniük, és fel kell készülniük a Coyote elleni küzdelemre, ha annak hatása kiszélesedik.
A biztonsági csapatok másik fontos szempontja a banki trójaiak történelmi fejlődése, amely teljes értékű kezdeti hozzáférést biztosító trójaiakká és hátsó ajtókká fejlődött. A figyelemre méltó példák közé tartozik az Emotet és a Trickbot , illetve újabban a QakBot és az Ursinif átalakítása. Ez a minta aláhúzza annak fontosságát, hogy odafigyeljünk az új banki trójai programok megjelenésére, mivel ezek potenciálisan kifinomultabb fenyegetésekké fejlődhetnek.
A Coyote Banking Trojan ártalmas képességekkel teli búvárral van felszerelve
A Coyote számos funkciót kínál, lehetővé téve különféle parancsok végrehajtását, például képernyőképek rögzítését, billentyűleütések naplózását, folyamatok leállítását, a gép leállítását és a kurzor kezelését. Nevezetesen, a gép lefagyását is előidézheti azáltal, hogy egy megtévesztő „Frissítéseken dolgozunk…” képernyőt fed le.
Általános viselkedésében a Coyote ragaszkodik a modern banki trójaiak tipikus mintájához. Amikor egy kompatibilis alkalmazást aktiválnak egy fertőzött rendszeren, a kártevő kommunikál a támadó által irányított Command-and-Control (C2) szerverrel. Ezután meggyőző adathalász fedvényt jelenít meg az áldozat képernyőjén, hogy rögzítse a bejelentkezési információkat. A Coyote azonban kitűnik ügyes kitérési taktikájával a potenciális észlelések ellen.
Ellentétben sok banki trójaival, amelyek Windows Installert (MSI) használnak, és amelyeket a kiberbiztonság védelmezői könnyen észlelnek, a Coyote a Squirrel mellett dönt. A Squirrel egy legitim, nyílt forráskódú eszköz, amelyet Windows asztali alkalmazások telepítésére és frissítésére terveztek. A Squirrel kihasználásával a Coyote arra törekszik, hogy álcázza rosszindulatú kezdeti fázisú betöltőjét, és látszólag ártalmatlan frissítéscsomagolóként mutassa be.
Az utolsó fázis betöltő egy újabb egyediségi réteget ad hozzá, mivel a viszonylag szokatlan „Nim” programozási nyelven van kódolva. Ez az egyik első olyan eset, amikor egy banki trójai programot figyeltek meg a Nim használatával.
Hagyományosan a banki trójai programokat túlnyomórészt Delphiben írták, amely egy régebbi nyelv, amelyet széles körben használnak a különféle kártevő-családokban. Ahogy a Delphi kártevők észlelési módszerei javultak az évek során, a fertőzések hatékonysága fokozatosan csökkent. A Nim elfogadásával a Coyote fejlesztői egy modernebb programozási nyelvet alkalmaznak, amely új funkciókat tartalmaz, és alacsonyabb észlelési arányt ér el a biztonsági szoftverrel.
A banki trójaiak globális műveletté váltak
Az elmúlt években Brazília a banki kártevők globális epicentrumává vált. Annak ellenére, hogy Brazíliából származnak, ezek a fenyegető programok bebizonyították, hogy képesek áthaladni óceánokon és kontinenseken. A fenyegetések mögött álló ügyes operátorok széles körű tapasztalattal rendelkeznek a banki trójai programok fejlesztésében, és élénk érdeklődést mutatnak támadásaik globális szintű kiterjesztése iránt. Következésképpen a kutatók olyan eseteket figyeltek meg, amikor a brazil banki trójaiak olyan nagy horderejű entitásokat és személyeket céloztak meg, mint Ausztrália és Európa.
Az egyik figyelemre méltó példa a Grandoreiro , egy hasonló tulajdonságokkal rendelkező trójai, amely nemcsak Mexikóba és Spanyolországba sikeresen beszivárgott, hanem e határokon túl is kiterjesztette hatókörét. Csúcspontján ez a fenyegetés összesen 41 országban volt jelen.
Ezeknek a műveleteknek a sikere azonban fokozott ellenőrzést vonzott a bűnüldöző szervek részéről. Az ilyen rosszindulatú szoftvereket elősegítő kiberföldalatti ökoszisztéma megzavarását célzó figyelemre méltó lépés során a brazil rendőrség öt ideiglenes elfogatóparancsot és 13 házkutatási és lefoglalási parancsot adott ki Brazília öt államában a Grandoreiróért felelős személyek ellen.
