Trojan Perbankan Coyote
Penyelidik baru-baru ini menemui Trojan perbankan unik bernama 'Coyote,' yang direka untuk menuai kelayakan untuk 61 aplikasi perbankan dalam talian. Apa yang membezakan ancaman Coyote ialah penyasaran meluas apl sektor perbankan, dengan majoriti tertumpu di Brazil. Trojan ini menonjol kerana gabungan rumit komponen asas dan lanjutan. Secara khusus, ia menggunakan pemasang sumber terbuka yang agak baharu yang dipanggil Squirrel, bergantung pada NodeJs, menggunakan bahasa pengaturcaraan yang kurang biasa 'Nim' dan mempunyai lebih sedozen fungsi berbahaya. Penemuan ini menandakan kemajuan yang patut diberi perhatian dalam pasaran berkembang pesat Brazil untuk perisian hasad kewangan, yang berpotensi menimbulkan cabaran penting bagi pasukan keselamatan sekiranya tumpuannya diperluaskan lagi.
Isi kandungan
Penjenayah Siber Brazil Telah Tertumpu pada Ancaman Trojan Perbankan
Pembangun perisian hasad Brazil telah secara aktif mencipta Trojan perbankan selama lebih dua dekad, sejak sekurang-kurangnya 2000. Sepanjang 24 tahun pembangunan berterusan, di mana mereka telah menavigasi dan mengatasi kaedah pengesahan dan teknologi perlindungan yang semakin berkembang, kreativiti mereka terbukti, seperti yang ditunjukkan oleh kemunculan Trojan terkini.
Walaupun pakar pada masa ini menyerlahkan Coyote sebagai ancaman yang tertumpu terutamanya kepada pengguna Brazil, organisasi mempunyai alasan yang kukuh untuk memantau keupayaan potensinya dengan teliti. Aliran masa lalu menunjukkan bahawa keluarga perisian hasad yang berjaya dalam pasaran Brazil sering meluaskan jangkauan mereka ke peringkat antarabangsa. Oleh itu, syarikat dan bank mesti berwaspada dan bersedia untuk menangani Coyote sekiranya impaknya meluas.
Satu lagi pertimbangan penting untuk pasukan keselamatan terletak pada perkembangan sejarah Trojan perbankan yang berkembang menjadi Trojan akses awal dan pintu belakang sepenuhnya. Contoh yang ketara termasuk transformasi Emotet dan Trickbot dan, lebih baru-baru ini, QakBot dan Ursinif. Corak ini menggariskan kepentingan memberi perhatian kepada kemunculan Trojan perbankan baharu, kerana mereka berpotensi berkembang menjadi ancaman yang lebih canggih.
Trojan Perbankan Coyote Dilengkapi dengan Penyelam Penuh dengan Keupayaan Memudaratkan
Coyote mempamerkan pelbagai fungsi yang dipertingkatkan, membolehkannya menjalankan pelbagai arahan seperti menangkap tangkapan skrin, mengelog ketukan kekunci, menamatkan proses, mematikan mesin dan memanipulasi kursor. Terutamanya, ia juga boleh menyebabkan mesin menjadi beku dengan menindih skrin 'Mengusahakan kemas kini…' yang mengelirukan.
Dalam kelakuan amnya, Coyote mematuhi corak tipikal Trojan perbankan moden. Selepas pengaktifan aplikasi yang serasi pada sistem yang dijangkiti, perisian hasad berkomunikasi dengan pelayan Command-and-Control (C2) yang dikawal oleh penyerang. Ia kemudian membentangkan tindanan pancingan data yang meyakinkan pada skrin mangsa untuk menangkap maklumat log masuk. Walau bagaimanapun, Coyote membezakan dirinya melalui taktik pengelakan yang mahir terhadap pengesanan yang berpotensi.
Tidak seperti kebanyakan Trojan perbankan yang menggunakan Pemasang Windows (MSI), mudah dikesan oleh pembela keselamatan siber, Coyote memilih Squirrel. Squirrel ialah alat sumber terbuka yang sah yang direka untuk memasang dan mengemas kini aplikasi desktop Windows. Dengan memanfaatkan Squirrel, Coyote berusaha untuk menyamarkan pemuat peringkat awalnya yang berniat jahat, mempersembahkannya sebagai pembungkus kemas kini yang kelihatan tidak berbahaya.
Pemuat peringkat akhir menambah satu lagi lapisan keunikan, dikodkan dalam bahasa pengaturcaraan yang agak luar biasa 'Nim.' Ini menandakan salah satu contoh pertama di mana Trojan perbankan telah diperhatikan menggunakan Nim.
Secara tradisinya, Trojan perbankan kebanyakannya ditulis dalam Delphi, bahasa lama yang digunakan secara meluas dalam pelbagai keluarga perisian hasad. Memandangkan kaedah pengesanan untuk perisian hasad Delphi telah bertambah baik selama bertahun-tahun, kecekapan jangkitan menurun secara beransur-ansur. Dengan penggunaan Nim, pembangun Coyote menerima bahasa pengaturcaraan yang lebih moden, menggabungkan ciri baharu dan mencapai kadar pengesanan yang lebih rendah oleh perisian keselamatan.
Trojan Perbankan Telah Merebak untuk Menjadi Operasi Global
Dalam beberapa tahun kebelakangan ini, Brazil telah muncul sebagai pusat global untuk perisian hasad perbankan. Walaupun berasal dari Brazil, program yang mengancam ini telah menunjukkan keupayaan untuk merentasi lautan dan benua. Pengendali yang mahir di sebalik ancaman ini mempunyai pengalaman yang luas dalam membangunkan Trojan perbankan dan mempamerkan minat yang mendalam dalam mengembangkan serangan mereka pada skala global. Akibatnya, penyelidik telah memerhatikan contoh Trojan bank Brazil yang menyasarkan entiti dan individu yang meluas seperti Australia dan Eropah.
Satu contoh yang patut diberi perhatian ialah Grandoreiro , Trojan dengan ciri-ciri serupa yang berjaya menyusup bukan sahaja Mexico dan Sepanyol tetapi juga meluaskan jangkauannya jauh di luar sempadan tersebut. Pada kemuncaknya, ancaman ini mempunyai kehadiran di sejumlah 41 negara.
Walau bagaimanapun, kejayaan operasi ini menarik perhatian yang lebih tinggi daripada penguatkuasaan undang-undang. Dalam langkah ketara yang bertujuan mengganggu ekosistem bawah tanah siber yang memudahkan perisian hasad sedemikian, polis Brazil melaksanakan lima waran tangkap sementara dan 13 waran geledah dan rampasan yang menyasarkan individu yang bertanggungjawab ke atas Grandoreiro di lima negeri di Brazil.
