Coyote Banking Trojan
Pesquisadores descobriram recentemente um Trojan bancário exclusivo chamado ‘Coyote’, projetado para coletar credenciais de 61 aplicativos bancários on-line. O que diferencia a ameaça Coyote é o seu amplo direcionamento a aplicativos do setor bancário, com a maioria concentrada no Brasil. Este Trojan se destaca por sua intrincada combinação de componentes básicos e avançados. Especificamente, ele emprega um instalador de código aberto relativamente novo chamado Squirrel, depende de NodeJs, utiliza a linguagem de programação menos comum ‘Nim’ e possui mais de uma dúzia de funcionalidades prejudiciais. Esta descoberta significa um avanço notável no florescente mercado brasileiro de malware financeiro, potencialmente representando desafios significativos para as equipes de segurança caso seu foco se expanda ainda mais.
Índice
Os Cibercriminosos Brasileiros Têm Se Concentrado em Ameaças de Trojans Bancários
Os desenvolvedores de malware brasileiros vêm criando ativamente Trojans bancários há mais de duas décadas, desde pelo menos 2000. Ao longo de 24 anos de desenvolvimento contínuo, onde navegaram habilmente e superaram métodos de autenticação e tecnologias de proteção em evolução, sua criatividade é evidente, como exemplificado por o surgimento do mais recente Trojan.
Embora os especialistas atualmente destaquem o Coyote como uma ameaça focada principalmente nos consumidores brasileiros, as organizações têm razões convincentes para monitorar de perto suas capacidades potenciais. As tendências anteriores indicam que as famílias de malware bem-sucedidas no mercado brasileiro muitas vezes estendem seu alcance internacionalmente. Portanto, as empresas e os bancos devem estar vigilantes e preparados para enfrentar o Coyote caso o seu impacto se amplie.
Outra consideração crucial para as equipes de segurança reside na progressão histórica dos Trojans bancários, evoluindo para Trojans de acesso inicial e backdoors completos. Exemplos notáveis incluem as transformações do Emotet e do Trickbot e, mais recentemente, do, QakBot e do Ursinif. Este padrão sublinha a importância de prestar atenção ao surgimento de novos Trojans bancários, uma vez que poderão evoluir para ameaças mais sofisticadas.
O Coyote Banking Trojan está Equipado com um Driver Cheio de Recursos Prejudiciais
O Coyote exibe uma gama aprimorada de funcionalidades, permitindo executar diversos comandos, como capturar imagens, registrar pressionamentos de teclas, encerrar processos, desligar a máquina e manipular o cursor. Notavelmente, ele também pode induzir o congelamento da máquina ao sobrepor uma tela enganosa 'Trabalhando em atualizações...'.
Em seu comportamento geral, o Coyote segue o padrão típico de um Trojan bancário moderno. Após a ativação de um aplicativo compatível em um sistema infectado, o malware se comunica com um servidor de Comando e Controle (C2) controlado pelo invasor. Em seguida, apresenta uma sobreposição de phishing convincente na tela da vítima para capturar informações de login. No entanto, o Coyote se distingue por suas táticas de evasão hábeis contra possíveis detecções.
Ao contrário de muitos Trojans bancários que utilizam Windows Installers (MSI), facilmente detectáveis pelos defensores da segurança cibernética, o Coyote opta pelo Squirrel. Squirrel é uma ferramenta legítima de código aberto projetada para instalar e atualizar aplicativos de desktop do Windows. Ao aproveitar o Squirrel, o Coyote tenta camuflar seu carregador malicioso de estágio inicial, apresentando-o como um empacotador de atualização aparentemente inofensivo.
O carregador de estágio final adiciona outra camada de exclusividade, sendo codificado na linguagem de programação relativamente incomum 'Nim'. Isso marca um dos primeiros casos em que um Trojan bancário foi observado usando o Nim.
Tradicionalmente, os Trojans bancários têm sido predominantemente escritos em Delphi, uma linguagem mais antiga amplamente utilizada em várias famílias de malware. À medida que os métodos de detecção de malware Delphi melhoraram ao longo dos anos, a eficiência das infecções diminuiu gradualmente. Com a adoção do Nim, os desenvolvedores do Coyote adotam uma linguagem de programação mais moderna, incorporando novos recursos e alcançando uma menor taxa de detecção por software de segurança.
Os Trojans Bancários se Espalharam e se Tornaram uma Operação Global
Nos últimos anos, o Brasil emergiu como um epicentro global de malware bancário. Apesar de terem origem no Brasil, estes programas ameaçadores demonstraram a capacidade de atravessar oceanos e continentes. Os operadores competentes por detrás destas ameaças possuem uma vasta experiência no desenvolvimento de Trojans bancários e demonstram um grande interesse em expandir os seus ataques a uma escala global. Consequentemente, os pesquisadores observaram casos de Trojans bancários brasileiros visando entidades e indivíduos de alcance tão amplo quanto a Austrália e a Europa.
Um exemplo digno de nota é o Grandoreiro, um Trojan com características semelhantes que se infiltrou com sucesso não apenas no México e na Espanha, mas também estendeu o seu alcance muito além dessas fronteiras. No seu auge, esta ameaça estava presente num total de 41 países.
No entanto, o sucesso destas operações atraiu um maior escrutínio por parte das autoridades policiais. Em um movimento notável que visa perturbar o ecossistema cibernético subterrâneo que facilita esse tipo de malware, a polícia brasileira executou cinco mandados de prisão temporária e 13 mandados de busca e apreensão visando os indivíduos responsáveis por Grandoreiro em cinco estados do Brasil.
