Coyote Banking Trojos arklys
Tyrėjai neseniai atrado unikalų bankininkystės Trojos arklį, pavadintą „Coyote“, skirtą 61 internetinės bankininkystės programos kredencialams surinkti. „Coyote“ grėsmė išsiskiria tuo, kad ji plačiai taikoma bankų sektoriaus programoms, kurių dauguma sutelkta Brazilijoje. Šis Trojos arklys išsiskiria sudėtingu pagrindinių ir pažangių komponentų deriniu. Konkrečiai, jame naudojama palyginti nauja atvirojo kodo diegimo programa „Squirrel“, ji remiasi NodeJ, naudoja rečiau paplitusią programavimo kalbą „Nim“ ir gali pasigirti daugiau nei tuzinu kenksmingų funkcijų. Šis atradimas reiškia reikšmingą pažangą klestinčioje Brazilijos finansinių kenkėjiškų programų rinkoje, kuri gali sukelti didelių iššūkių saugumo komandoms, jei jos dėmesys dar labiau išsiplės.
Turinys
Brazilijos kibernetiniai nusikaltėliai sutelkė dėmesį į bankininkystės Trojos arklys
Brazilijos kenkėjiškų programų kūrėjai aktyviai kuria bankinius Trojos arklys daugiau nei du dešimtmečius, datuojančius mažiausiai 2000 m. Per 24 nuolatinio tobulėjimo metus, kai jie puikiai naršo ir įveikė besikeičiančius autentifikavimo metodus ir apsaugos technologijas, jų kūrybiškumas yra akivaizdus, kaip rodo naujausio Trojos arklys atsiradimas.
Nors šiuo metu ekspertai pabrėžia, kad „Coyote“ yra grėsmė, pirmiausia skirta Brazilijos vartotojams, organizacijos turi įtikinamų priežasčių atidžiai stebėti galimus jo pajėgumus. Ankstesnės tendencijos rodo, kad kenkėjiškų programų šeimos, sėkmingai veikiančios Brazilijos rinkoje, dažnai išplečia savo pasiekiamumą tarptautiniu mastu. Todėl korporacijos ir bankai turi būti budrūs ir pasiruošę spręsti „Coyote“ problemą, jei jos poveikis išsiplės.
Kitas svarbus saugumo komandų veiksnys yra istorinė bankininkystės Trojos arklių raida, kuri išsivystė į visavertius pradinės prieigos Trojos arklius ir užpakalines duris. Žymūs atvejai yra „Emotet “ ir „Trickbot “, o pastaruoju metu „QakBot “ ir „Ursinif“ transformacijos. Šis modelis pabrėžia, kaip svarbu atkreipti dėmesį į naujų bankinių Trojos arklių atsiradimą, nes jie gali išsivystyti į sudėtingesnes grėsmes.
Coyote Banking Trojos arklys yra aprūpintas naru, kupinu kenksmingų galimybių
„Coyote“ turi patobulintą funkcijų spektrą, leidžiantį atlikti įvairias komandas, pvz., fotografuoti ekrano kopijas, registruoti klavišų paspaudimus, užbaigti procesus, išjungti įrenginį ir manipuliuoti žymekliu. Pažymėtina, kad jis taip pat gali sukelti mašinos užšalimą, perdengdamas apgaulingą ekraną „Darbas su atnaujinimais...“.
Savo bendru elgesiu „Coyote“ laikosi tipiško šiuolaikinio bankininkystės Trojos arklys modelio. Užkrėstoje sistemoje suaktyvinus suderinamą programą, kenkėjiška programa susisiekia su užpuoliko valdomu komandų ir valdymo (C2) serveriu. Tada aukos ekrane pateikiama įtikinama sukčiavimo perdanga, kad būtų užfiksuota prisijungimo informacija. Tačiau „Coyote“ išsiskiria savo adekvačia vengimo taktika prieš galimus aptikimus.
Skirtingai nuo daugelio bankinių Trojos arklių, naudojančių „Windows Installers“ (MSI), kurias lengvai aptinka kibernetinio saugumo gynėjai, „Coyote“ pasirenka „Squirrel“. „Squirrel“ yra teisėtas atvirojo kodo įrankis, skirtas „Windows“ darbalaukio programoms įdiegti ir atnaujinti. Naudodama Squirrel, Coyote stengiasi užmaskuoti savo kenkėjišką pradinės pakopos įkroviklį, pristatydama jį kaip iš pažiūros nekenksmingą naujinimų paketuotoją.
Paskutinės pakopos įkroviklis prideda dar vieną unikalumo sluoksnį, užkoduotą palyginti neįprasta programavimo kalba „Nim“. Tai vienas iš pirmųjų atvejų, kai buvo pastebėtas bankinis Trojos arklys naudojant Nim.
Tradiciškai bankininkystės Trojos arklys daugiausia buvo parašytas Delphi – senesne kalba, plačiai naudojama įvairiose kenkėjiškų programų šeimose. Bėgant metams tobulėjant Delphi kenkėjiškų programų aptikimo būdams, infekcijų efektyvumas palaipsniui mažėjo. Pritaikę Nim, Coyote kūrėjai naudojasi modernesne programavimo kalba, apimančia naujas funkcijas ir pasiekiantį mažesnį saugos programinės įrangos aptikimo rodiklį.
Bankininkystės Trojos arklys išplito ir tapo pasauline operacija
Pastaraisiais metais Brazilija tapo pasauliniu bankų kenkėjiškų programų epicentru. Nepaisant to, kad šios grėsmingos programos yra kilusios iš Brazilijos, jos įrodė, kad jos gali įveikti vandenynus ir žemynus. Patyrę operatoriai, atsakingi už šias grėsmes, turi didelę patirtį kuriant bankinius Trojos arklys ir yra labai suinteresuoti išplėsti savo atakas pasauliniu mastu. Todėl mokslininkai pastebėjo atvejus, kai Brazilijos bankų Trojos arklys nusitaiko į tokius plataus masto subjektus ir asmenis kaip Australija ir Europa.
Vienas dėmesio vertas pavyzdys yra Grandoreiro , panašių savybių Trojos arklys, kuris sėkmingai įsiskverbė ne tik į Meksiką ir Ispaniją, bet ir išplėtė savo pasiekiamumą gerokai už tų sienų. Didžiausio taško metu ši grėsmė iš viso buvo 41 šalyje.
Tačiau šių operacijų sėkmė sulaukė griežtesnio teisėsaugos dėmesio. Brazilijos policija įvykdė penkis laikinojo arešto orderius ir 13 kratos ir konfiskavimo orderių, nukreiptų į asmenis, atsakingus už Grandoreiro penkiose Brazilijos valstijose.
