Trojan bancario Coyote
I ricercatori hanno recentemente scoperto un trojan bancario unico denominato "Coyote", progettato per raccogliere credenziali per 61 applicazioni bancarie online. Ciò che distingue la minaccia Coyote è il fatto che prende di mira in modo estensivo le app del settore bancario, con la maggior parte concentrata in Brasile. Questo Trojan si distingue per la sua complessa combinazione di componenti di base e avanzati. Nello specifico, impiega un programma di installazione open source relativamente nuovo chiamato Squirrel, si affida a NodeJs, utilizza il linguaggio di programmazione meno comune "Nim" e vanta oltre una dozzina di funzionalità dannose. Questa scoperta rappresenta un notevole progresso nel fiorente mercato brasiliano del malware finanziario, ponendo potenzialmente sfide significative ai team di sicurezza qualora la loro attenzione si espandesse ulteriormente.
Sommario
I criminali informatici brasiliani si sono concentrati sulle minacce trojan bancari
Gli sviluppatori di malware brasiliani creano attivamente trojan bancari da oltre due decenni, a partire almeno dal 2000. Nel corso di 24 anni di sviluppo continuo, durante i quali hanno navigato abilmente e superato metodi di autenticazione e tecnologie di protezione in evoluzione, la loro creatività è evidente, come esemplificato da l'emergere dell'ultimo Trojan.
Mentre gli esperti attualmente evidenziano Coyote come una minaccia focalizzata principalmente sui consumatori brasiliani, le organizzazioni hanno ragioni convincenti per monitorare da vicino le sue potenziali capacità. Le tendenze passate indicano che le famiglie di malware che hanno successo nel mercato brasiliano spesso estendono la loro portata a livello internazionale. Pertanto, le aziende e le banche devono essere vigili e pronte ad affrontare Coyote qualora il suo impatto dovesse ampliarsi.
Un’altra considerazione cruciale per i team di sicurezza risiede nella progressione storica dei Trojan bancari che si sono evoluti in Trojan ad accesso iniziale e backdoor a tutti gli effetti. Esempi degni di nota includono le trasformazioni di Emotet e Trickbot e, più recentemente, QakBot e Ursinif. Questo modello sottolinea l’importanza di prestare attenzione all’emergere di nuovi trojan bancari, poiché potrebbero potenzialmente evolversi in minacce più sofisticate.
Il trojan bancario Coyote è dotato di un subacqueo pieno di capacità dannose
Coyote presenta una gamma avanzata di funzionalità, che gli consentono di eseguire diversi comandi come l'acquisizione di schermate, la registrazione delle sequenze di tasti, la conclusione di processi, lo spegnimento della macchina e la manipolazione del cursore. In particolare, può anche provocare il blocco della macchina sovrapponendo la schermata ingannevole "Lavoro sugli aggiornamenti...".
Nel suo comportamento generale Coyote segue lo schema tipico dei moderni trojan bancari. Dopo l'attivazione di un'app compatibile su un sistema infetto, il malware comunica con un server Command-and-Control (C2) controllato dall'aggressore. Presenta quindi un convincente overlay di phishing sullo schermo della vittima per acquisire le informazioni di accesso. Tuttavia, Coyote si distingue per le sue abili tattiche di evasione contro potenziali rilevamenti.
A differenza di molti trojan bancari che utilizzano Windows Installer (MSI), facilmente rilevabili dai difensori della sicurezza informatica, Coyote opta per Squirrel. Squirrel è uno strumento open source legittimo progettato per l'installazione e l'aggiornamento delle app desktop Windows. Sfruttando Squirrel, Coyote tenta di camuffare il suo dannoso caricatore di fase iniziale, presentandolo come un pacchetto di aggiornamenti apparentemente innocuo.
Il caricatore della fase finale aggiunge un altro livello di unicità, essendo codificato nel linguaggio di programmazione relativamente raro "Nim". Questo segna uno dei primi casi in cui è stato osservato un trojan bancario che utilizzava Nim.
Tradizionalmente, i trojan bancari sono stati scritti prevalentemente in Delphi, un linguaggio più antico ampiamente utilizzato in varie famiglie di malware. Con il miglioramento dei metodi di rilevamento del malware Delphi nel corso degli anni, l’efficienza delle infezioni è gradualmente diminuita. Con l'adozione di Nim, gli sviluppatori di Coyote adottano un linguaggio di programmazione più moderno, incorporando nuove funzionalità e ottenendo un tasso di rilevamento inferiore da parte del software di sicurezza.
I trojan bancari si sono diffusi fino a diventare un'operazione globale
Negli ultimi anni, il Brasile è emerso come epicentro globale del malware bancario. Nonostante abbiano origine in Brasile, questi programmi minacciosi hanno dimostrato la capacità di attraversare oceani e continenti. Gli abili operatori dietro queste minacce possiedono una vasta esperienza nello sviluppo di trojan bancari e mostrano un vivo interesse nell’espandere i loro attacchi su scala globale. Di conseguenza, i ricercatori hanno osservato casi di trojan bancari brasiliani che prendevano di mira entità e individui di vasta portata come l’Australia e l’Europa.
Un esempio degno di nota è Grandoreiro , un trojan con caratteristiche simili che si è infiltrato con successo non solo in Messico e Spagna, ma ha anche esteso la sua portata ben oltre questi confini. Al suo apice, questa minaccia era presente in un totale di 41 paesi.
Tuttavia, il successo di queste operazioni ha attirato un maggiore controllo da parte delle forze dell’ordine. Con una mossa notevole volta a interrompere l'ecosistema informatico sotterraneo che facilita tale malware, la polizia brasiliana ha eseguito cinque mandati di arresto temporanei e 13 mandati di perquisizione e sequestro contro le persone responsabili di Grandoreiro in cinque stati del Brasile.
