Troian Coyote Banking
Cercetătorii au descoperit recent un troian bancar unic numit „Coyote”, conceput pentru a colecta acreditări pentru 61 de aplicații bancare online. Ceea ce diferențiază amenințarea Coyote este țintirea extinsă a aplicațiilor din sectorul bancar, majoritatea concentrată în Brazilia. Acest troian se remarcă prin combinația sa complicată de componente de bază și avansate. Mai exact, folosește un program de instalare open-source relativ nou numit Squirrel, se bazează pe NodeJs, utilizează limbajul de programare mai puțin obișnuit „Nim” și se mândrește cu peste o duzină de funcționalități dăunătoare. Această descoperire semnifică o avansare demnă de remarcat pe piața înfloritoare a malware-ului financiar din Brazilia, potențial punând provocări semnificative pentru echipele de securitate, în cazul în care concentrarea acesteia se extinde în continuare.
Cuprins
Infractorii cibernetici brazilieni au fost concentrați pe amenințările troiene bancare
Dezvoltatorii brazilieni de programe malware au creat în mod activ troieni bancare de peste două decenii, datând din cel puțin 2000. De-a lungul a 24 de ani de dezvoltare continuă, în care au navigat abil și au depășit metodele de autentificare și tehnologiile de protecție în evoluție, creativitatea lor este evidentă, așa cum este exemplificat prin apariția celui mai recent troian.
În timp ce experții evidențiază în prezent Coyote ca pe o amenințare concentrată în primul rând pe consumatorii brazilieni, organizațiile au motive întemeiate să-i monitorizeze îndeaproape capabilitățile potențiale. Tendințele anterioare indică faptul că familiile de programe malware de succes pe piața braziliană își extind adesea raza internațională. Prin urmare, corporațiile și băncile trebuie să fie vigilente și pregătite să se adreseze lui Coyote în cazul în care impactul acestuia se extinde.
O altă considerație crucială pentru echipele de securitate constă în evoluția istorică a troienilor bancare care se transformă în troieni cu acces inițial complet și uși din spate. Exemple notabile includ transformările lui Emotet și Trickbot și, mai recent, QakBot și Ursinif. Acest model subliniază importanța acordării de atenție apariției noilor troieni bancare, deoarece aceștia ar putea evolua în amenințări mai sofisticate.
Troianul Coyote Banking este echipat cu un scafandru plin de capabilități dăunătoare
Coyote prezintă o gamă îmbunătățită de funcționalități, permițându-i să execute diverse comenzi, cum ar fi capturarea de capturi de ecran, înregistrarea apăsărilor de taste, terminarea proceselor, închiderea mașinii și manipularea cursorului. În special, poate provoca și înghețarea mașinii prin suprapunerea unui ecran înșelător „Se lucrează la actualizări…”.
În comportamentul său general, Coyote aderă la tiparul tipic al unui troian bancar modern. La activarea unei aplicații compatibile pe un sistem infectat, malware-ul comunică cu un server de comandă și control (C2) controlat de atacator. Apoi prezintă o suprapunere convingătoare de phishing pe ecranul victimei pentru a captura informațiile de conectare. Cu toate acestea, Coyote se distinge prin tacticile sale de evaziune adepte împotriva potențialelor detectări.
Spre deosebire de mulți troieni bancare care utilizează Windows Installers (MSI), ușor de detectat de apărătorii securității cibernetice, Coyote optează pentru Squirrel. Squirrel este un instrument open-source legitim conceput pentru instalarea și actualizarea aplicațiilor desktop Windows. Folosind Squirrel, Coyote se străduiește să-și camufleze încărcătorul inițial rău intenționat, prezentându-l ca un pachet de actualizări aparent inofensiv.
Încărcătorul din etapa finală adaugă un alt strat de unicitate, fiind codificat în limbajul de programare relativ neobișnuit „Nim”. Acesta marchează unul dintre primele cazuri în care un troian bancar a fost observat folosind Nim.
În mod tradițional, troienele bancare au fost scrise predominant în Delphi, o limbă mai veche folosită pe scară largă în diferite familii de malware. Pe măsură ce metodele de detectare a malware-ului Delphi s-au îmbunătățit de-a lungul anilor, eficiența infecțiilor a scăzut treptat. Odată cu adoptarea Nim, dezvoltatorii lui Coyote îmbrățișează un limbaj de programare mai modern, încorporând noi caracteristici și obținând o rată de detectare mai mică de către software-ul de securitate.
Troienii bancare s-au răspândit pentru a deveni o operațiune globală
În ultimii ani, Brazilia a devenit un epicentru global pentru malware bancar. În ciuda faptului că sunt originare din Brazilia, aceste programe amenințătoare au demonstrat capacitatea de a traversa oceane și continente. Operatorii adepți din spatele acestor amenințări au o experiență vastă în dezvoltarea troienilor bancare și manifestă un interes puternic pentru extinderea atacurilor lor la scară globală. În consecință, cercetătorii au observat cazuri de troieni bănci braziliene care vizează entități și persoane la fel de extinse ca Australia și Europa.
Un exemplu demn de remarcat este Grandoreiro , un troian cu caracteristici similare care s-a infiltrat cu succes nu numai în Mexic și Spania, dar și-a extins raza de acțiune mult dincolo de aceste granițe. La apogeu, această amenințare a avut o prezență într-un total de 41 de țări.
Cu toate acestea, succesul acestor operațiuni a atras o atenție sporită din partea forțelor de ordine. Într-o mișcare notabilă menită să perturbe ecosistemul cibernetic subteran care facilitează astfel de programe malware, poliția braziliană a executat cinci mandate de arestare temporară și 13 mandate de percheziție și sechestru care vizează persoanele responsabile de Grandoreiro în cinci state din Brazilia.
