Trojan bankowy Coyote
Badacze odkryli niedawno unikalnego trojana bankowego o nazwie „Coyote”, którego zadaniem jest zbieranie danych uwierzytelniających dla 61 aplikacji bankowości internetowej. Tym, co wyróżnia zagrożenie Coyote, jest jego szeroko zakrojone ataki na aplikacje sektora bankowego, przy czym większość jest skupiona w Brazylii. Trojan ten wyróżnia się skomplikowaną kombinacją podstawowych i zaawansowanych komponentów. W szczególności wykorzystuje stosunkowo nowy instalator open source o nazwie Squirrel, opiera się na NodeJs, wykorzystuje mniej popularny język programowania „Nim” i może pochwalić się kilkunastu szkodliwymi funkcjonalnościami. To odkrycie oznacza godny uwagi postęp na kwitnącym brazylijskim rynku finansowego szkodliwego oprogramowania, potencjalnie stwarzając poważne wyzwania dla zespołów ds. bezpieczeństwa, jeśli jego obszar zainteresowań będzie dalej się rozszerzał.
Spis treści
Brazylijscy cyberprzestępcy skupili się na zagrożeniach związanych z trojanami bankowymi
Brazylijscy twórcy szkodliwego oprogramowania aktywnie tworzą trojany bankowe od ponad dwudziestu lat, począwszy od co najmniej 2000 roku. Przez 24 lata ciągłego rozwoju, podczas których umiejętnie poruszali się i pokonywali zmieniające się metody uwierzytelniania i technologie ochrony, ich kreatywność jest oczywista, czego przykładem jest pojawienie się najnowszego trojana.
Chociaż eksperci obecnie podkreślają, że Coyote jest zagrożeniem skupiającym się głównie na brazylijskich konsumentach, organizacje mają istotne powody, aby uważnie monitorować jego potencjalne możliwości. Dotychczasowe trendy wskazują, że rodziny szkodliwego oprogramowania, które odniosły sukces na rynku brazylijskim, często rozszerzają swój zasięg na arenie międzynarodowej. Dlatego korporacje i banki muszą zachować czujność i przygotować się na reakcję Coyote, jeśli jego wpływ się rozszerzy.
Kolejną istotną kwestią dla zespołów ds. bezpieczeństwa jest historyczny rozwój trojanów bankowych, które przekształciły się w pełnoprawne trojany pierwszego dostępu i backdoory. Godne uwagi przykłady obejmują transformacje Emoteta i Trickbota , a ostatnio QakBota i Ursinifa. Ten schemat podkreśla znaczenie zwracania uwagi na pojawianie się nowych trojanów bankowych, ponieważ mogą one potencjalnie przekształcić się w bardziej wyrafinowane zagrożenia.
Trojan bankowy Coyote jest wyposażony w nurka pełnego szkodliwych możliwości
Coyote charakteryzuje się rozszerzonym zakresem funkcjonalności, umożliwiającym wykonywanie różnorodnych poleceń, takich jak przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, kończenie procesów, zamykanie maszyny i manipulowanie kursorem. Warto zauważyć, że może również spowodować zawieszenie komputera poprzez nałożenie zwodniczego ekranu „Praca nad aktualizacjami…”.
W swoim ogólnym zachowaniu Coyote odwołuje się do typowego wzorca współczesnego trojana bankowego. Po aktywacji kompatybilnej aplikacji w zainfekowanym systemie złośliwe oprogramowanie komunikuje się z kontrolowanym przez osobę atakującą serwerem dowodzenia i kontroli (C2). Następnie prezentuje na ekranie ofiary przekonującą nakładkę phishingową w celu przechwycenia danych logowania. Jednakże Coyote wyróżnia się umiejętną taktyką unikania potencjalnych wykryć.
W przeciwieństwie do wielu trojanów bankowych korzystających z instalatorów Windows (MSI), łatwych do wykrycia przez obrońców cyberbezpieczeństwa, Coyote wybiera Squirrel. Squirrel to legalne narzędzie typu open source przeznaczone do instalowania i aktualizowania aplikacji komputerowych dla systemu Windows. Wykorzystując Squirrel, Coyote stara się zamaskować swój złośliwy moduł ładujący początkowego etapu, przedstawiając go jako pozornie nieszkodliwy program pakujący aktualizacje.
Moduł ładujący końcowego etapu dodaje kolejną warstwę wyjątkowości, ponieważ jest kodowany w stosunkowo rzadkim języku programowania „Nim”. Jest to jeden z pierwszych przypadków zaobserwowania trojana bankowego korzystającego z Nim.
Tradycyjnie trojany bankowe były pisane głównie w Delphi – starszym języku powszechnie używanym w różnych rodzinach szkodliwego oprogramowania. W miarę udoskonalania metod wykrywania szkodliwego oprogramowania Delphi na przestrzeni lat, skuteczność infekcji stopniowo spadała. Wraz z przyjęciem Nim programiści Coyote zaczęli stosować bardziej nowoczesny język programowania, wprowadzając nowe funkcje i osiągając niższy współczynnik wykrywalności przez oprogramowanie zabezpieczające.
Trojany bankowe rozprzestrzeniły się i stały się operacją globalną
W ostatnich latach Brazylia stała się światowym epicentrum szkodliwego oprogramowania bankowego. Mimo że te groźne programy wywodzą się z Brazylii, wykazały zdolność do przemierzania oceanów i kontynentów. Doświadczeni operatorzy stojący za tymi zagrożeniami posiadają rozległe doświadczenie w tworzeniu trojanów bankowych i wykazują duże zainteresowanie rozszerzeniem swoich ataków na skalę globalną. W związku z tym badacze zaobserwowali przypadki brazylijskich trojanów bankowych atakujących podmioty i osoby o zasięgu tak odległym, jak Australia i Europa.
Godnym uwagi przykładem jest Grandoreiro , trojan o podobnych cechach, który z powodzeniem przeniknął nie tylko do Meksyku i Hiszpanii, ale także rozszerzył swój zasięg znacznie poza te granice. W szczytowym okresie zagrożenie to występowało łącznie w 41 krajach.
Jednak powodzenie tych operacji wzbudziło wzmożone zainteresowanie organów ścigania. W ramach godnego uwagi posunięcia mającego na celu zakłócenie podziemnego ekosystemu cybernetycznego ułatwiającego tworzenie takiego szkodliwego oprogramowania brazylijska policja wykonała pięć tymczasowych nakazów aresztowania oraz 13 nakazów przeszukania i zajęcia wymierzonych w osoby odpowiedzialne za Grandoreiro w pięciu stanach Brazylii.
