Coyote Banking-trojan
Onderzoekers hebben onlangs een unieke bank-trojan ontdekt, genaamd 'Coyote', ontworpen om inloggegevens voor 61 toepassingen voor online bankieren te verzamelen. Wat de Coyote-dreiging onderscheidt, is de uitgebreide targeting op apps uit de banksector, waarbij het merendeel geconcentreerd is in Brazilië. Deze Trojan valt op door zijn ingewikkelde combinatie van basis- en geavanceerde componenten. Concreet maakt het gebruik van een relatief nieuw open-source installatieprogramma genaamd Squirrel, vertrouwt het op NodeJs, gebruikt het de minder gebruikelijke programmeertaal 'Nim' en beschikt het over meer dan een dozijn schadelijke functionaliteiten. Deze ontdekking betekent een opmerkelijke vooruitgang in de bloeiende markt voor financiële malware in Brazilië, wat mogelijk aanzienlijke uitdagingen kan opleveren voor beveiligingsteams als de focus zich verder uitbreidt.
Inhoudsopgave
Braziliaanse cybercriminelen hebben zich gefocust op de bedreigingen van het banktrojan
Braziliaanse malware-ontwikkelaars zijn al meer dan twintig jaar actief bezig met het vervaardigen van banktrojans, die minstens teruggaan tot het jaar 2000. Gedurende 24 jaar van voortdurende ontwikkeling, waarin ze vakkundig de evoluerende authenticatiemethoden en beveiligingstechnologieën hebben genavigeerd en overwonnen, is hun creativiteit duidelijk zichtbaar, zoals blijkt uit de opkomst van de nieuwste Trojan.
Terwijl experts Coyote momenteel benadrukken als een bedreiging die vooral gericht is op Braziliaanse consumenten, hebben organisaties dwingende redenen om de potentiële mogelijkheden ervan nauwlettend in de gaten te houden. Trends uit het verleden geven aan dat malwarefamilies die succesvol zijn op de Braziliaanse markt hun bereik vaak internationaal uitbreiden. Daarom moeten bedrijven en banken waakzaam zijn en bereid zijn om Coyote aan te pakken als de impact ervan groter wordt.
Een andere cruciale overweging voor beveiligingsteams ligt in de historische ontwikkeling van banktrojans die zich hebben ontwikkeld tot volwaardige Trojans voor initiële toegang en achterdeurtjes. Opmerkelijke voorbeelden zijn onder meer de transformaties van Emotet en Trickbot en, meer recentelijk, QakBot en Ursinif. Dit patroon onderstreept hoe belangrijk het is om aandacht te besteden aan de opkomst van nieuwe banktrojans, aangezien deze zich mogelijk kunnen ontwikkelen tot meer geavanceerde bedreigingen.
De Coyote Banking Trojan is uitgerust met een duiker vol schadelijke mogelijkheden
Coyote beschikt over een uitgebreider scala aan functionaliteiten, waardoor het diverse opdrachten kan uitvoeren, zoals het maken van schermafbeeldingen, het registreren van toetsaanslagen, het beëindigen van processen, het afsluiten van de machine en het manipuleren van de cursor. Het kan met name ook een machinebevriezing veroorzaken door een misleidend scherm 'Werken aan updates…' over elkaar heen te plaatsen.
In zijn algemene gedrag volgt Coyote het typische patroon van een moderne banktrojan. Bij activering van een compatibele app op een geïnfecteerd systeem communiceert de malware met een door de aanvaller bestuurde Command-and-Control (C2)-server. Vervolgens presenteert het een overtuigende phishing-overlay op het scherm van het slachtoffer om inloggegevens vast te leggen. Coyote onderscheidt zich echter door zijn bedreven ontwijkingstactieken tegen mogelijke detecties.
In tegenstelling tot veel banktrojans die gebruik maken van Windows Installers (MSI), die gemakkelijk te detecteren zijn door cybersecurity-verdedigers, kiest Coyote voor Squirrel. Squirrel is een legitieme open-sourcetool die is ontworpen voor het installeren en bijwerken van Windows-desktopapps. Door gebruik te maken van Squirrel probeert Coyote zijn kwaadaardige initiële lader te camoufleren en deze te presenteren als een ogenschijnlijk ongevaarlijke update-packer.
De laatste fase-lader voegt nog een unieke laag toe, gecodeerd in de relatief ongebruikelijke programmeertaal 'Nim.' Dit is een van de eerste gevallen waarin een banktrojan is waargenomen die Nim gebruikte.
Traditioneel zijn banktrojans voornamelijk geschreven in Delphi, een oudere taal die veel wordt gebruikt in verschillende malwarefamilies. Omdat de detectiemethoden voor Delphi-malware in de loop der jaren zijn verbeterd, is de efficiëntie van infecties geleidelijk afgenomen. Met de adoptie van Nim omarmen de ontwikkelaars van Coyote een modernere programmeertaal, waarin nieuwe functies zijn opgenomen en een lager detectiepercentage door beveiligingssoftware wordt bereikt.
Banktrojans hebben zich verspreid en zijn een mondiale operatie geworden
De afgelopen jaren is Brazilië uitgegroeid tot een mondiaal epicentrum voor bankmalware. Ondanks dat ze uit Brazilië afkomstig zijn, hebben deze bedreigende programma's aangetoond dat ze in staat zijn oceanen en continenten te doorkruisen. De ervaren operators achter deze bedreigingen beschikken over uitgebreide ervaring in het ontwikkelen van banktrojans en tonen een grote interesse in het uitbreiden van hun aanvallen op mondiale schaal. Bijgevolg hebben onderzoekers voorbeelden waargenomen van Braziliaanse banktrojans die zich richtten op entiteiten en individuen die zo verstrekkend waren als Australië en Europa.
Een opmerkelijk voorbeeld is Grandoreiro , een Trojaans paard met vergelijkbare kenmerken dat niet alleen met succes in Mexico en Spanje infiltreerde, maar zijn bereik ook tot ver buiten die grenzen uitbreidde. Op zijn hoogtepunt was deze dreiging aanwezig in in totaal 41 landen.
Het succes van deze operaties kreeg echter steeds meer aandacht van de wetshandhavers. In een opmerkelijke stap gericht op het ontwrichten van het cyber-ondergrondse ecosysteem dat dergelijke malware mogelijk maakt, heeft de Braziliaanse politie vijf tijdelijke arrestatiebevelen en dertien huiszoekingsbevelen uitgevaardigd tegen de personen die verantwoordelijk zijn voor Grandoreiro in vijf staten in Brazilië.
