Coyote Banking Trojas zirgs
Pētnieki nesen atklāja unikālu banku Trojas zirgu ar nosaukumu "Coyote", kas paredzēts 61 tiešsaistes bankas lietojumprogrammas akreditācijas datu iegūšanai. Coyote draudus atšķir tā plašā mērķauditorijas atlase banku sektora lietotnēs, un lielākā daļa ir koncentrēta Brazīlijā. Šis Trojas zirgs izceļas ar savu sarežģīto pamata un uzlaboto komponentu kombināciju. Konkrēti, tajā tiek izmantots salīdzinoši jauns atvērtā pirmkoda instalētājs ar nosaukumu Squirrel, tas paļaujas uz NodeJ, izmanto mazāk izplatīto programmēšanas valodu "Nim" un lepojas ar vairāk nekā duci kaitīgu funkciju. Šis atklājums norāda uz ievērojamu progresu Brazīlijas plaukstošajā finanšu ļaunprātīgas programmatūras tirgū, potenciāli radot nopietnus izaicinājumus drošības komandām, ja tā uzmanība tiktu vēl vairāk paplašināta.
Satura rādītājs
Brazīlijas kibernoziedznieki ir koncentrējušies uz Trojas zirgu draudiem
Brazīlijas ļaunprogrammatūras izstrādātāji ir aktīvi izstrādājuši banku Trojas zirgus jau vairāk nekā divus gadu desmitus, kas datēti ar vismaz 2000. gadu. 24 gadu nepārtrauktas attīstības laikā, kad viņi ir lietpratīgi orientējušies un pārvarējuši attīstošās autentifikācijas metodes un aizsardzības tehnoloģijas, viņu radošums ir acīmredzams, kā to pierāda jaunākā Trojas zirga parādīšanās.
Lai gan eksperti pašlaik izceļ Coyote kā draudus, kas galvenokārt vērsti uz Brazīlijas patērētājiem, organizācijām ir pārliecinoši iemesli, lai rūpīgi uzraudzītu tā potenciālās iespējas. Iepriekšējās tendences liecina, ka ļaunprātīgas programmatūras ģimenes, kas veiksmīgi darbojas Brazīlijas tirgū, bieži paplašina savu sasniedzamību starptautiskā mērogā. Tāpēc korporācijām un bankām jābūt modrām un gatavām vērsties pret Coyote, ja tās ietekme paplašināsies.
Vēl viens būtisks apsvērums drošības komandām ir banku Trojas zirgu vēsturiskā attīstība, kas pārvēršas par pilnvērtīgiem sākotnējās piekļuves Trojas zirgiem un aizmugures durvīm. Ievērojami gadījumi ir Emotet un Trickbot un nesen QakBot un Ursinif transformācijas. Šis modelis uzsver, cik svarīgi ir pievērst uzmanību jaunu banku Trojas zirgu parādīšanās, jo tie, iespējams, var kļūt par sarežģītākiem draudiem.
Coyote Banking Trojas zirgs ir aprīkots ar ūdenslīdēju, kas ir pilns ar kaitīgām iespējām
Coyote piedāvā paplašinātu funkciju klāstu, kas ļauj tai izpildīt dažādas komandas, piemēram, uzņemt ekrānuzņēmumus, reģistrēt taustiņu nospiešanas, pārtraukt procesus, izslēgt iekārtu un manipulēt ar kursoru. Proti, tas var arī izraisīt mašīnas iesaldēšanu, pārklājot maldinošu ekrānu “Strādāt pie atjauninājumiem…”.
Savā vispārējā uzvedībā Coyote ievēro tipisku mūsdienu banku Trojas zirgu modeli. Aktivizējot saderīgu lietotni inficētā sistēmā, ļaunprogrammatūra sazinās ar uzbrucēja kontrolētu Command-and-Control (C2) serveri. Pēc tam upura ekrānā tiek parādīts pārliecinošs pikšķerēšanas pārklājums, lai tvertu pieteikšanās informāciju. Tomēr Coyote izceļas ar savu lietpratīgo izvairīšanās taktiku pret iespējamiem atklājumiem.
Atšķirībā no daudziem banku Trojas zirgiem, kas izmanto Windows Installers (MSI), ko kiberdrošības aizstāvji var viegli noteikt, Coyote izvēlas Squirrel. Squirrel ir likumīgs atvērtā pirmkoda rīks, kas paredzēts Windows darbvirsmas lietotņu instalēšanai un atjaunināšanai. Izmantojot Squirrel, Coyote cenšas maskēt savu ļaunprātīgo sākotnējās stadijas ielādētāju, parādot to kā šķietami nekaitīgu atjauninājumu pakotni.
Pēdējās stadijas ielādētājs pievieno vēl vienu unikalitātes slāni, jo tas ir kodēts salīdzinoši neparastajā programmēšanas valodā “Nim”. Tas ir viens no pirmajiem gadījumiem, kad banku Trojas zirgs ir novērots, izmantojot Nim.
Tradicionāli banku Trojas zirgi galvenokārt ir rakstīti Delphi — vecākā valodā, ko plaši izmanto dažādās ļaunprātīgas programmatūras ģimenēs. Tā kā Delphi ļaunprātīgās programmatūras noteikšanas metodes gadu gaitā ir uzlabojušās, infekciju efektivitāte pakāpeniski samazinājās. Ieviešot Nim, Coyote izstrādātāji izmanto modernāku programmēšanas valodu, iekļaujot tajā jaunas funkcijas un panākot zemāku drošības programmatūras noteikšanas līmeni.
Banku Trojas zirgi ir izplatījušies, lai kļūtu par globālu operāciju
Pēdējos gados Brazīlija ir kļuvusi par globālu banku ļaunprātīgas programmatūras epicentru. Neskatoties uz to, ka to izcelsme ir Brazīlijā, šīs draudīgās programmas ir pierādījušas spēju šķērsot okeānus un kontinentus. Prasmīgiem operatoriem, kas ir aiz šiem draudiem, ir liela pieredze banku Trojas zirgu izstrādē, un viņi izrāda lielu interesi paplašināt savus uzbrukumus globālā mērogā. Līdz ar to pētnieki ir novērojuši gadījumus, kad Brazīlijas banku Trojas zirgi ir vērsti uz vienībām un privātpersonām, kas ir tik tālejošas kā Austrālija un Eiropa.
Viens ievērības cienīgs piemērs ir Grandoreiro — Trojas zirgs ar līdzīgām īpašībām, kas veiksmīgi iefiltrējās ne tikai Meksikā un Spānijā, bet arī paplašināja savu sasniedzamību tālu aiz šīm robežām. Visaugstākajā laikā šie draudi bija sastopami 41 valstī.
Tomēr šo operāciju panākumi izraisīja pastiprinātu tiesībaizsardzības iestāžu pārbaudi. Brazīlijas policija izdeva piecus pagaidu apcietināšanas orderus un 13 kratīšanas un konfiskācijas orderus, kuru mērķis bija izjaukt kiberpazemes ekosistēmu, kas veicina šādas ļaunprātīgas programmatūras izplatību, vēršoties pret personām, kas ir atbildīgas par Grandoreiro piecos Brazīlijas štatos.
