Банковский троян Coyote
Недавно исследователи обнаружили уникального банковского трояна Coyote, предназначенного для сбора учетных данных для 61 приложения онлайн-банкинга. Что отличает угрозу Coyote, так это то, что она широко нацелена на приложения банковского сектора, большинство из которых сосредоточено в Бразилии. Этот троянец отличается сложной комбинацией базовых и расширенных компонентов. В частности, он использует относительно новый установщик с открытым исходным кодом под названием Squirrel, опирается на NodeJs, использует менее распространенный язык программирования Nim и может похвастаться более чем дюжиной вредоносных функций. Это открытие означает заметный прогресс на процветающем бразильском рынке финансовых вредоносных программ, что потенциально может создать серьезные проблемы для команд безопасности, если их внимание будет расширяться дальше.
Оглавление
Бразильские киберпреступники сосредоточились на угрозах банковских троянов
Бразильские разработчики вредоносного ПО активно создают банковские трояны уже более двух десятилетий, начиная как минимум с 2000 года. На протяжении 24 лет непрерывного развития, в ходе которого они умело ориентировались и преодолевали развивающиеся методы аутентификации и технологии защиты, их креативность очевидна, о чем свидетельствует появление последнего трояна.
Хотя эксперты в настоящее время называют Coyote угрозой, ориентированной в первую очередь на бразильских потребителей, у организаций есть веские причины внимательно следить за его потенциальными возможностями. Прошлые тенденции показывают, что семейства вредоносных программ, успешные на бразильском рынке, часто расширяют свое присутствие на международном уровне. Поэтому корпорации и банки должны проявлять бдительность и быть готовыми противостоять Coyote, если его влияние расширится.
Еще одним важным моментом для групп безопасности является историческое развитие банковских троянов, превращающихся в полноценные трояны начального доступа и бэкдоры. Яркими примерами являются трансформации Emotet и Trickbot , а в последнее время — QakBot и Ursinif. Эта закономерность подчеркивает важность обращения внимания на появление новых банковских троянов, поскольку они потенциально могут перерасти в более сложные угрозы.
Банковский троян Coyote оснащен дайвером, полным вредоносных возможностей
Coyote обладает расширенным набором функций, позволяющих ему выполнять различные команды, такие как захват снимков экрана, регистрация нажатий клавиш, завершение процессов, выключение компьютера и управление курсором. Примечательно, что это также может вызвать зависание компьютера, накладывая обманчивый экран «Работа над обновлениями…».
В своем общем поведении Coyote придерживается типичной модели современного банковского трояна. При активации совместимого приложения в зараженной системе вредоносное ПО связывается с контролируемым злоумышленником сервером управления и контроля (C2). Затем на экране жертвы отображается убедительное фишинговое наложение для захвата данных для входа. Тем не менее, Coyote отличается своей искусной тактикой уклонения от потенциального обнаружения.
В отличие от многих банковских троянов, использующих установщики Windows (MSI), которые легко обнаруживаются защитниками кибербезопасности, Coyote выбирает Squirrel. Squirrel — это законный инструмент с открытым исходным кодом, предназначенный для установки и обновления настольных приложений Windows. Используя Squirrel, Coyote пытается замаскировать свой вредоносный загрузчик начальной стадии, представляя его как, казалось бы, безобидный упаковщик обновлений.
Загрузчик финального этапа добавляет еще один уровень уникальности, поскольку он написан на относительно редком языке программирования Nim. Это один из первых случаев, когда банковский троян был замечен с использованием Nim.
Традиционно банковские трояны преимущественно писались на Delphi — старом языке, широко используемом в различных семействах вредоносных программ. По мере совершенствования методов обнаружения вредоносных программ Delphi с годами эффективность заражений постепенно снижалась. С внедрением Nim разработчики Coyote перешли на более современный язык программирования, включив в него новые функции и добившись более низкого уровня обнаружения программами обеспечения безопасности.
Банковские трояны распространились и стали глобальной операцией
В последние годы Бразилия стала глобальным эпицентром банковского вредоносного ПО. Несмотря на то, что эти угрожающие программы зародились в Бразилии, они продемонстрировали способность пересекать океаны и континенты. Опытные операторы, стоящие за этими угрозами, обладают обширным опытом разработки банковских троянов и проявляют большой интерес к расширению своих атак в глобальном масштабе. Следовательно, исследователи наблюдали случаи, когда бразильские банковские трояны атаковали юридических и физических лиц, охватывающих даже Австралию и Европу.
Одним из примечательных примеров является Grandoreiro , троян с похожими характеристиками, который успешно проник не только в Мексику и Испанию, но и распространил свое влияние далеко за пределы этих границ. На пике своего развития эта угроза присутствовала в общей сложности в 41 стране.
Однако успех этих операций привлек повышенное внимание правоохранительных органов. Заметным шагом, направленным на разрушение экосистемы киберподполья, способствующей распространению таких вредоносных программ, стало то, что бразильская полиция выдала пять ордеров на временный арест и 13 ордеров на обыск и арест лиц, ответственных за Грандорейро, в пяти штатах Бразилии.
