Coyote Banking Trojan

ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញ Trojan ធនាគារពិសេសមួយដែលមានឈ្មោះថា 'Coyote' ដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានអត្តសញ្ញាណសម្រាប់កម្មវិធីធនាគារតាមអ៊ីនធឺណិតចំនួន 61 ។ អ្វី​ដែល​កំណត់​ការ​គំរាម​កំហែង​របស់ Coyote គឺ​ការ​កំណត់​គោល​ដៅ​យ៉ាង​ទូលំទូលាយ​នៃ​កម្មវិធី​វិស័យ​ធនាគារ ដោយ​ភាគ​ច្រើន​ផ្តោត​ទៅ​លើ​ប្រទេស​ប្រេស៊ីល។ Trojan នេះលេចធ្លោសម្រាប់ការរួមបញ្ចូលគ្នាដ៏ស្មុគស្មាញនៃសមាសធាតុមូលដ្ឋាន និងកម្រិតខ្ពស់។ ជាពិសេស វាប្រើកម្មវិធីដំឡើងប្រភពបើកចំហរថ្មីដែលហៅថា Squirrel ពឹងផ្អែកលើ NodeJs ប្រើប្រាស់ភាសាសរសេរកម្មវិធីមិនសូវសាមញ្ញ 'Nim' និងមានមុខងារដែលបង្កគ្រោះថ្នាក់រាប់សិប។ របកគំហើញនេះបង្ហាញពីការរីកចម្រើនគួរឱ្យកត់សម្គាល់នៅក្នុងទីផ្សារដែលកំពុងរីកចម្រើនរបស់ប្រទេសប្រេស៊ីលសម្រាប់មេរោគហិរញ្ញវត្ថុ ដែលអាចជាបញ្ហាប្រឈមដ៏សំខាន់សម្រាប់ក្រុមសន្តិសុខ ប្រសិនបើការផ្តោតអារម្មណ៍របស់វាពង្រីកបន្ថែមទៀត។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរបស់ប្រេស៊ីលបានផ្តោតលើការគំរាមកំហែង Trojan ធនាគារ

អ្នកបង្កើតមេរោគប្រេស៊ីលបាននិងកំពុងបង្កើត Trojan ធនាគារយ៉ាងសកម្មអស់រយៈពេលជាង 2 ទសវត្សរ៍មកហើយ ដែលមានអាយុកាលយ៉ាងហោចណាស់ 2000។ ក្នុងរយៈពេល 24 ឆ្នាំនៃការអភិវឌ្ឍន៍ជាបន្តបន្ទាប់ ដែលពួកគេបានធ្វើការណែនាំ និងយកឈ្នះលើវិធីសាស្រ្តផ្ទៀងផ្ទាត់ និងបច្ចេកវិទ្យាការពារដែលវិវត្តន៍យ៉ាងសកម្ម ការច្នៃប្រឌិតរបស់ពួកគេគឺបង្ហាញឱ្យឃើញជាក់ស្តែង ដូចដែលឧទាហរណ៍ដោយ ការលេចឡើងនៃ Trojan ចុងក្រោយបំផុត។

ខណៈពេលដែលអ្នកជំនាញបច្ចុប្បន្នរំលេច Coyote ថាជាការគំរាមកំហែងដែលផ្តោតលើអ្នកប្រើប្រាស់ប្រេស៊ីលជាចម្បង អង្គការមានហេតុផលគួរឱ្យទាក់ទាញដើម្បីតាមដានសមត្ថភាពសក្តានុពលរបស់វាយ៉ាងជិតស្និទ្ធ។ និន្នាការកន្លងមកបង្ហាញថា គ្រួសារមេរោគដែលទទួលបានជោគជ័យនៅក្នុងទីផ្សារប្រេស៊ីល ជារឿយៗពង្រីកការឈានដល់កម្រិតអន្តរជាតិ។ ដូច្នេះ សាជីវកម្ម និងធនាគារត្រូវតែមានការប្រុងប្រយ័ត្ន និងរៀបចំដើម្បីដោះស្រាយ Coyote ប្រសិនបើផលប៉ះពាល់របស់វាកាន់តែទូលំទូលាយ។

ការពិចារណាដ៏សំខាន់មួយទៀតសម្រាប់ក្រុមសន្តិសុខគឺស្ថិតនៅក្នុងការវិវត្តជាប្រវត្តិសាស្ត្រនៃ Trojans ធនាគារដែលវិវត្តទៅជា Trojans និង backdoors ដែលដំណើរការដំបូងពេញលេញ។ ករណីគួរឱ្យកត់សម្គាល់រួមមានការផ្លាស់ប្តូររបស់ Emotet និង Trickbot ហើយថ្មីៗនេះ QakBot និង Ursinif ។ គំរូនេះគូសបញ្ជាក់ពីសារៈសំខាន់នៃការយកចិត្តទុកដាក់ចំពោះការលេចឡើងនៃ Trojan ធនាគារថ្មី ដោយសារពួកគេអាចវិវត្តទៅជាការគំរាមកំហែងកាន់តែទំនើប។

Coyote Banking Trojan ត្រូវបានបំពាក់ដោយអ្នកមុជទឹកដែលពោរពេញដោយសមត្ថភាពគ្រោះថ្នាក់

Coyote បង្ហាញនូវមុខងារដែលប្រសើរឡើង ដែលអនុញ្ញាតឱ្យវាអនុវត្តពាក្យបញ្ជាចម្រុះដូចជា ការចាប់យករូបថតអេក្រង់ ការកត់ត្រាការចុចគ្រាប់ចុច ការបញ្ចប់ដំណើរការ ការបិទម៉ាស៊ីន និងរៀបចំទស្សន៍ទ្រនិច។ គួរកត់សម្គាល់ថា វាក៏អាចធ្វើឱ្យម៉ាស៊ីនបង្កកដោយបិទបាំងអេក្រង់ 'ធ្វើការលើការអាប់ដេត...' ដែលបញ្ឆោត។

នៅក្នុងអាកប្បកិរិយាទូទៅរបស់វា Coyote ប្រកាន់ខ្ជាប់នូវគំរូធម្មតានៃ Trojan ធនាគារទំនើប។ នៅពេលដំណើរការកម្មវិធីដែលត្រូវគ្នានៅលើប្រព័ន្ធមេរោគ មេរោគនឹងទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ បន្ទាប់មកវាបង្ហាញការបញ្ឆោតដែលគួរឱ្យជឿជាក់លើអេក្រង់របស់ជនរងគ្រោះដើម្បីចាប់យកព័ត៌មានចូល។ ទោះជាយ៉ាងណាក៏ដោយ Coyote សម្គាល់ខ្លួនវាតាមរយៈល្បិចគេចវេសដ៏ប៉ិនប្រសប់របស់ខ្លួនប្រឆាំងនឹងការរកឃើញសក្តានុពល។

មិនដូច Trojan ធនាគារជាច្រើនដែលប្រើ Windows Installers (MSI) អាចរកឃើញយ៉ាងងាយស្រួលដោយអ្នកការពារសន្តិសុខតាមអ៊ីនធឺណិត Coyote ជ្រើសរើស Squirrel ។ Squirrel គឺជាឧបករណ៍ប្រភពបើកចំហស្របច្បាប់ដែលត្រូវបានរចនាឡើងសម្រាប់ដំឡើង និងធ្វើបច្ចុប្បន្នភាពកម្មវិធីកុំព្យូទ័រលើតុរបស់ Windows ។ តាមរយៈការប្រើ Squirrel Coyote ព្យាយាមក្លែងបន្លំកម្មវិធីផ្ទុកដំណាក់កាលដំបូងដែលមានគំនិតអាក្រក់របស់វា ដោយបង្ហាញវាថាជាកញ្ចប់អាប់ដេតដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់។

កម្មវិធីផ្ទុកដំណាក់កាលចុងក្រោយបន្ថែមស្រទាប់នៃភាពប្លែកមួយទៀត ដោយត្រូវបានសរសេរកូដជាភាសាសរសេរកម្មវិធីមិនធម្មតា 'Nim'។ នេះជាករណីទីមួយដែល Trojan ធនាគារត្រូវបានគេសង្កេតឃើញដោយប្រើ Nim ។

ជាប្រពៃណី Trojan ធនាគារត្រូវបានសរសេរជាចម្បងនៅក្នុង Delphi ដែលជាភាសាចាស់ប្រើយ៉ាងទូលំទូលាយនៅទូទាំងគ្រួសារមេរោគផ្សេងៗ។ ដោយសារវិធីសាស្រ្តក្នុងការរកឃើញមេរោគ Delphi មានភាពប្រសើរឡើងក្នុងរយៈពេលជាច្រើនឆ្នាំ ប្រសិទ្ធភាពនៃការឆ្លងបានធ្លាក់ចុះបន្តិចម្តងៗ។ ជាមួយនឹងការទទួលយក Nim អ្នកអភិវឌ្ឍន៍របស់ Coyote ទទួលយកភាសាសរសេរកម្មវិធីទំនើបជាងមុន ដោយបញ្ចូលមុខងារថ្មីៗ និងសម្រេចបានអត្រាការរកឃើញទាបដោយកម្មវិធីសុវត្ថិភាព។

Trojan ធនាគារបានរីករាលដាលដើម្បីក្លាយជាប្រតិបត្តិការសកល

ក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ ប្រទេសប្រេស៊ីលបានលេចចេញជាចំណុចកណ្តាលសកលសម្រាប់មេរោគធនាគារ។ ទោះបីជាមានប្រភពមកពីប្រទេសប្រេស៊ីលក៏ដោយ កម្មវិធីគំរាមកំហែងទាំងនេះបានបង្ហាញពីសមត្ថភាពឆ្លងកាត់មហាសមុទ្រ និងទ្វីបនានា។ ប្រតិបត្តិករដ៏ជំនាញដែលនៅពីក្រោយការគំរាមកំហែងទាំងនេះមានបទពិសោធន៍យ៉ាងទូលំទូលាយក្នុងការអភិវឌ្ឍ Trojan ធនាគារ និងបង្ហាញចំណាប់អារម្មណ៍យ៉ាងខ្លាំងក្នុងការពង្រីកការវាយប្រហាររបស់ពួកគេនៅលើមាត្រដ្ឋានសកល។ អាស្រ័យហេតុនេះ អ្នកស្រាវជ្រាវបានសង្កេតឃើញករណី Trojans របស់ធនាគារប្រេស៊ីល សំដៅទៅលើអង្គភាព និងបុគ្គលនានាដែលទូលំទូលាយដូចជាប្រទេសអូស្ត្រាលី និងអឺរ៉ុប។

ឧទាហរណ៍ដ៏គួរឱ្យកត់សម្គាល់មួយគឺ Grandoreiro ដែលជា Trojan ដែលមានលក្ខណៈស្រដៀងគ្នាដែលបានជ្រៀតចូលដោយជោគជ័យមិនត្រឹមតែម៉ិកស៊ិក និងអេស្ប៉ាញប៉ុណ្ណោះទេ ថែមទាំងបានពង្រីកការឈានទៅដល់ហួសពីព្រំដែនទាំងនោះទៀតផង។ នៅកម្រិតខ្ពស់បំផុត ការគំរាមកំហែងនេះមានវត្តមាននៅក្នុងប្រទេសសរុបចំនួន 41 ។

ទោះជាយ៉ាងណាក៏ដោយ ភាពជោគជ័យនៃប្រតិបត្តិការទាំងនេះបានទាក់ទាញការពិនិត្យមើលកាន់តែខ្ពស់ពីការអនុវត្តច្បាប់។ នៅក្នុងសកម្មភាពគួរឱ្យកត់សម្គាល់ក្នុងគោលបំណងបង្អាក់ប្រព័ន្ធអេកូអ៊ីនធឺណេតក្រោមដីដែលសម្របសម្រួលមេរោគបែបនេះ ប៉ូលីសប្រេស៊ីលបានអនុវត្តដីកាចាប់ខ្លួនបណ្តោះអាសន្នចំនួន 5 និងដីកាស្វែងរក និងរឹបអូសចំនួន 13 ដែលផ្តោតលើបុគ្គលដែលទទួលខុសត្រូវចំពោះ Grandoreiro នៅទូទាំងរដ្ឋចំនួន 5 ក្នុងប្រទេសប្រេស៊ីល។