Coyote Banking Trojan
Výskumníci nedávno objavili jedinečný bankový trójsky kôň s názvom 'Coyote', ktorý bol navrhnutý tak, aby zbieral poverenia pre 61 online bankových aplikácií. To, čo odlišuje hrozbu Coyote, je jej rozsiahle zacielenie na aplikácie bankového sektora, pričom väčšina sa sústreďuje v Brazílii. Tento trójsky kôň vyniká svojou zložitou kombináciou základných a pokročilých komponentov. Konkrétne používa relatívne nový inštalátor s otvoreným zdrojom s názvom Squirrel, spolieha sa na NodeJs, využíva menej bežný programovací jazyk „Nim“ a môže sa pochváliť viac ako tuctom škodlivých funkcií. Tento objav znamená pozoruhodný pokrok na prosperujúcom brazílskom trhu s finančným malvérom, ktorý môže predstavovať významné výzvy pre bezpečnostné tímy, ak by sa jeho zameranie ďalej rozširovalo.
Obsah
Brazílski kyberzločinci sa zamerali na bankové trójske hrozby
Brazílski vývojári škodlivého softvéru aktívne vytvárajú bankové trójske kone už viac ako dve desaťročia, od roku 2000. Počas 24 rokov nepretržitého vývoja, kde sa šikovne orientovali a prekonávali vyvíjajúce sa metódy autentifikácie a ochranných technológií, je ich kreativita evidentná, čoho dôkazom je napr. vznik najnovšieho trójskeho koňa.
Zatiaľ čo odborníci v súčasnosti zdôrazňujú Coyote ako hrozbu primárne zameranú na brazílskych spotrebiteľov, organizácie majú presvedčivé dôvody na to, aby pozorne sledovali jeho potenciálne schopnosti. Minulé trendy naznačujú, že rodiny škodlivého softvéru úspešné na brazílskom trhu často rozširujú svoj dosah na medzinárodnú úroveň. Korporácie a banky preto musia byť ostražití a pripravení osloviť Coyote, ak sa jeho vplyv rozšíri.
Ďalšia zásadná úvaha pre bezpečnostné tímy spočíva v historickom vývoji bankových trójskych koní, z ktorých sa vyvinuli plnohodnotné trójske kone s počiatočným prístupom a zadné vrátka. Pozoruhodné príklady zahŕňajú transformácie Emotet a Trickbot a novšie QakBot a Ursinif. Tento model podčiarkuje dôležitosť venovania pozornosti vzniku nových bankových trójskych koní, pretože by sa potenciálne mohli rozvinúť do sofistikovanejších hrozieb.
Bankový trójsky kôň Coyote je vybavený potápačom plným škodlivých schopností
Coyote má rozšírenú škálu funkcií, ktoré mu umožňujú vykonávať rôzne príkazy, ako je snímanie snímok obrazovky, zaznamenávanie stlačení klávesov, ukončovanie procesov, vypínanie stroja a manipulácia s kurzorom. Najmä môže spôsobiť zamrznutie stroja prekrytím klamlivej obrazovky „Pracuje sa na aktualizáciách...“.
Vo svojom všeobecnom správaní sa Coyote drží typického vzoru moderného bankového trójskeho koňa. Po aktivácii kompatibilnej aplikácie na infikovanom systéme komunikuje malvér so serverom Command-and-Control (C2) ovládaným útočníkom. Potom na obrazovke obete zobrazí presvedčivé phishingové prekrytie na zachytenie prihlasovacích informácií. Coyote sa však odlišuje svojou šikovnou taktikou vyhýbania sa potenciálnym odhaleniam.
Na rozdiel od mnohých bankových trójskych koní, ktoré využívajú inštalačné programy systému Windows (MSI), ktoré môžu ochrancovia kybernetickej bezpečnosti ľahko zistiť, Coyote sa rozhodol pre Squirrel. Squirrel je legitímny open-source nástroj určený na inštaláciu a aktualizáciu desktopových aplikácií Windows. Využitím Squirrel sa Coyote snaží zamaskovať svoj škodlivý počiatočný fázový zavádzač a prezentuje ho ako zdanlivo neškodný balík aktualizácií.
Finálna fáza zavádzača pridáva ďalšiu vrstvu jedinečnosti, pretože je kódovaná v relatívne nezvyčajnom programovacom jazyku 'Nim. Ide o jeden z prvých prípadov, kedy bol pomocou Nim spozorovaný bankový trójsky kôň.
Tradične boli bankové trójske kone napísané prevažne v Delphi, staršom jazyku, ktorý sa bežne používa v rôznych rodinách škodlivého softvéru. Ako sa metódy detekcie škodlivého softvéru Delphi v priebehu rokov zlepšovali, účinnosť infekcií postupne klesala. Po prijatí Nim vývojári Coyote prijali modernejší programovací jazyk, ktorý obsahuje nové funkcie a dosahuje nižšiu mieru detekcie bezpečnostným softvérom.
Bankové trójske kone sa rozšírili a stali sa globálnou prevádzkou
V posledných rokoch sa Brazília stala globálnym epicentrom bankového malvéru. Napriek tomu, že tieto hrozivé programy pochádzajú z Brazílie, preukázali schopnosť prekonať oceány a kontinenty. Skúsení operátori stojaci za týmito hrozbami majú rozsiahle skúsenosti s vývojom bankových trójskych koní a prejavujú veľký záujem o rozšírenie svojich útokov v globálnom meradle. V dôsledku toho výskumníci pozorovali prípady brazílskych bankových trójskych koní, ktoré sa zameriavali na subjekty a jednotlivcov tak ďaleko, ako je Austrália a Európa.
Jedným z pozoruhodných príkladov je Grandoreiro , trójsky kôň s podobnými vlastnosťami, ktorý úspešne infiltroval nielen Mexiko a Španielsko, ale rozšíril svoj dosah aj ďaleko za tieto hranice. Na vrchole mala táto hrozba prítomnosť celkovo v 41 krajinách.
Úspech týchto operácií však vyvolal zvýšenú kontrolu zo strany orgánov činných v trestnom konaní. V rámci významného kroku zameraného na narušenie kybernetického podzemného ekosystému, ktorý umožňuje takýto malvér, brazílska polícia vykonala päť dočasných zatykačov a 13 príkazov na prehliadku a zaistenie zameraných na osoby zodpovedné za Grandoreiro v piatich štátoch Brazílie.
