Coyote bančni trojanec
Raziskovalci so pred kratkim odkrili edinstvenega bančnega trojanca z imenom "Coyote", zasnovanega za zbiranje poverilnic za 61 aplikacij za spletno bančništvo. Kar ločuje grožnjo Coyote, je njeno obsežno ciljanje na aplikacije bančnega sektorja, pri čemer je večina skoncentrirana v Braziliji. Ta trojanec izstopa po zapleteni kombinaciji osnovnih in naprednih komponent. Natančneje, uporablja sorazmerno nov odprtokodni namestitveni program, imenovan Squirrel, se opira na NodeJs, uporablja manj pogost programski jezik 'Nim' in se ponaša z več kot ducatom škodljivih funkcij. To odkritje pomeni omembe vreden napredek na cvetočem brazilskem trgu za finančno zlonamerno programsko opremo, ki bi lahko predstavljala velik izziv za varnostne ekipe, če bi se njen fokus še razširil.
Kazalo
Brazilski kiberkriminalci so bili osredotočeni na bančne trojanske grožnje
Brazilski razvijalci zlonamerne programske opreme aktivno izdelujejo bančne trojance že več kot dve desetletji, od tega vsaj do leta 2000. Skozi 24 let nenehnega razvoja, kjer so spretno krmarili in premagovali razvijajoče se metode preverjanja pristnosti in zaščitne tehnologije, je njihova ustvarjalnost očitna, kar ponazarjajo pojav najnovejšega trojanca.
Medtem ko strokovnjaki trenutno poudarjajo Coyote kot grožnjo, ki se osredotoča predvsem na brazilske potrošnike, imajo organizacije tehtne razloge, da pozorno spremljajo njegove potencialne zmogljivosti. Pretekli trendi kažejo, da družine zlonamerne programske opreme, uspešne na brazilskem trgu, pogosto širijo svoj doseg na mednarodni ravni. Zato morajo biti korporacije in banke previdne in pripravljene obravnavati Coyote, če se njegov vpliv razširi.
Druga pomembna točka za varnostne ekipe je zgodovinsko napredovanje bančnih trojancev, ki so se razvili v popolnoma razvite trojance za začetni dostop in stranska vrata. Pomembni primeri vključujejo transformacije Emoteta in Trickbota ter nedavno QakBota in Ursinifa. Ta vzorec poudarja, kako pomembno je biti pozoren na pojav novih bančnih trojancev, saj bi se lahko razvili v bolj sofisticirane grožnje.
Trojanec Coyote Banking je opremljen s potapljačem, polnim škodljivih zmogljivosti
Coyote ima razširjen nabor funkcij, ki mu omogočajo izvajanje različnih ukazov, kot so zajemanje posnetkov zaslona, beleženje pritiskov tipk, prekinitev procesov, zaustavitev stroja in upravljanje s kazalcem. Predvsem lahko sproži tudi zamrznitev računalnika s prekrivanjem zavajajočega zaslona »Delam na posodobitvah ...«.
Coyote se v svojem splošnem obnašanju drži tipičnega vzorca sodobnega bančnega trojanca. Po aktivaciji združljive aplikacije v okuženem sistemu zlonamerna programska oprema komunicira s strežnikom Command-and-Control (C2), ki ga nadzoruje napadalec. Nato na zaslonu žrtve prikaže prepričljivo lažno predstavljanje, da zajame podatke za prijavo. Vendar pa se Coyote razlikuje po svoji spretni taktiki izogibanja morebitnim odkritjem.
Za razliko od mnogih bančnih trojancev, ki uporabljajo namestitvene programe Windows (MSI), ki jih zagovorniki kibernetske varnosti zlahka zaznajo, se Coyote odloči za Squirrel. Squirrel je legitimno odprtokodno orodje, zasnovano za nameščanje in posodabljanje namiznih aplikacij Windows. Z uporabo Squirrel si Coyote prizadeva prikriti svoj zlonamerni nalagalnik na začetni stopnji in ga predstaviti kot navidezno neškodljivo pakirnico posodobitev.
Nalagalnik na zadnji stopnji doda še eno plast edinstvenosti, saj je kodiran v relativno neobičajnem programskem jeziku 'Nim'. To je eden od prvih primerov, ko so opazili bančnega trojanca, ki uporablja Nim.
Tradicionalno so bili bančni trojanci večinoma napisani v Delphiju, starejšem jeziku, ki se pogosto uporablja v različnih družinah zlonamerne programske opreme. Ker so se metode odkrivanja zlonamerne programske opreme Delphi z leti izboljševale, je učinkovitost okužb postopoma upadala. S sprejetjem Nima razvijalci Coyote sprejmejo sodobnejši programski jezik, ki vključuje nove funkcije in dosega nižjo stopnjo zaznavanja s strani varnostne programske opreme.
Bančni trojanci so se razširili in postali globalna operacija
V zadnjih letih je Brazilija postala globalni epicenter bančne zlonamerne programske opreme. Kljub temu, da izvirajo iz Brazilije, so ti grozeči programi dokazali, da lahko prečkajo oceane in celine. Spretni operaterji, ki stojijo za temi grožnjami, imajo bogate izkušnje z razvojem bančnih trojancev in izkazujejo veliko zanimanje za širitev svojih napadov v svetovnem merilu. Posledično so raziskovalci opazili primere brazilskih bančnih trojancev, ki ciljajo na subjekte in posameznike tako daleč kot v Avstraliji in Evropi.
Eden omembe vreden primer je Grandoreiro , trojanec s podobnimi značilnostmi, ki se je uspešno infiltriral ne le v Mehiko in Španijo, temveč je svoj doseg razširil tudi čez te meje. Na vrhuncu je bila ta grožnja prisotna v skupno 41 državah.
Vendar pa je uspeh teh operacij pritegnil povečan nadzor organov pregona. Z opazno potezo, katere cilj je bil prekiniti kibernetski podzemni ekosistem, ki omogoča takšno zlonamerno programsko opremo, je brazilska policija izvršila pet nalogov za začasno aretacijo in 13 nalogov za preiskave in zasege, namenjenih posameznikom, odgovornim za Grandoreiro v petih zveznih državah v Braziliji.
