Coyote Banking Trojan
Studiuesit zbuluan kohët e fundit një Trojan bankar unik të quajtur 'Coyote', i krijuar për të mbledhur kredencialet për 61 aplikacione bankare në internet. Ajo që e veçon kërcënimin Coyote është shënjestrimi i gjerë i aplikacioneve të sektorit bankar, me shumicën e përqendruar në Brazil. Ky Trojan shquhet për kombinimin e tij të ndërlikuar të komponentëve bazë dhe të avancuar. Në mënyrë të veçantë, ai përdor një instalues relativisht të ri me burim të hapur të quajtur Squirrel, mbështetet në NodeJs, përdor gjuhën më pak të zakonshme të programimit 'Nim' dhe krenohet me mbi një duzinë funksionalitete të dëmshme. Ky zbulim nënkupton një përparim të rëndësishëm në tregun e lulëzuar të Brazilit për malware financiarë, duke paraqitur potencialisht sfida të rëndësishme për ekipet e sigurisë nëse fokusi i tij zgjerohet më tej.
Tabela e Përmbajtjes
Kriminelët kibernetikë brazilianë janë fokusuar në kërcënimet bankare të Trojanit
Zhvilluesit brazilianë të malware kanë krijuar në mënyrë aktive Trojans bankar për më shumë se dy dekada, që datojnë të paktën në vitin 2000. Përgjatë 24 viteve të zhvillimit të vazhdueshëm, ku ata kanë lundruar me mjeshtëri dhe kapërcyer metodat evolucionare të vërtetimit dhe teknologjitë e mbrojtjes, kreativiteti i tyre është i dukshëm, siç ilustrohet nga shfaqja e Trojanit të fundit.
Ndërsa ekspertët aktualisht theksojnë Coyote si një kërcënim të fokusuar kryesisht te konsumatorët brazilianë, organizatat kanë arsye bindëse për të monitoruar nga afër aftësitë e tij të mundshme. Tendencat e kaluara tregojnë se familjet e suksesshme të malware në tregun brazilian shpesh e zgjerojnë shtrirjen e tyre ndërkombëtarisht. Prandaj, korporatat dhe bankat duhet të jenë vigjilente dhe të përgatitura për të adresuar Coyote nëse ndikimi i tij zgjerohet.
Një tjetër konsideratë thelbësore për ekipet e sigurisë qëndron në përparimin historik të trojanëve bankar që evoluojnë në trojanë të plotë të aksesit fillestar dhe dyer të pasme. Raste të dukshme përfshijnë transformimet e Emotet dhe Trickbot dhe, së fundmi, QakBot dhe Ursinif. Ky model nënvizon rëndësinë e kushtimit të vëmendjes ndaj shfaqjes së Trojanëve të rinj bankar, pasi ato potencialisht mund të evoluojnë në kërcënime më të sofistikuara.
Trojani Coyote Banking është i pajisur me një zhytës plot aftësi të dëmshme
Coyote shfaq një gamë të zgjeruar të funksionaliteteve, duke e lejuar atë të kryejë komanda të ndryshme, të tilla si kapja e pamjeve të ekranit, regjistrimi i tastieve, përfundimi i proceseve, mbyllja e makinës dhe manipulimi i kursorit. Veçanërisht, ai gjithashtu mund të shkaktojë ngrirjen e makinës duke mbivendosur një ekran mashtrues "Punimi në përditësime...".
Në sjelljen e tij të përgjithshme, Coyote i përmbahet modelit tipik të një trojan bankar modern. Pas aktivizimit të një aplikacioni të pajtueshëm në një sistem të infektuar, malware komunikon me një server Command-and-Control (C2) të kontrolluar nga sulmuesi. Më pas paraqet një mbivendosje bindëse phishing në ekranin e viktimës për të kapur informacionin e hyrjes. Sidoqoftë, Coyote dallohet përmes taktikave të saj të aftë të evazionit kundër zbulimeve të mundshme.
Ndryshe nga shumë trojanë bankar që përdorin Windows Installers (MSI), lehtësisht të zbulueshëm nga mbrojtësit e sigurisë kibernetike, Coyote zgjedh Squirrel. Squirrel është një mjet legjitim me burim të hapur i krijuar për instalimin dhe përditësimin e aplikacioneve të desktopit të Windows. Duke përdorur Squirrel, Coyote përpiqet të kamuflojë ngarkuesin e tij me qëllim të keq të fazës fillestare, duke e paraqitur atë si një paketues përditësimi në dukje të padëmshëm.
Ngarkuesi i fazës përfundimtare shton një shtresë tjetër unike, duke u koduar në gjuhën relativisht të pazakontë të programimit 'Nim'. Kjo shënon një nga rastet e para ku një Trojan bankar është vërejtur duke përdorur Nim.
Tradicionalisht, trojanët bankar janë shkruar kryesisht në Delphi, një gjuhë më e vjetër e përdorur gjerësisht në familje të ndryshme malware. Ndërsa metodat e zbulimit për malware Delphi janë përmirësuar me kalimin e viteve, efikasiteti i infeksioneve ra gradualisht. Me miratimin e Nim, zhvilluesit e Coyote përqafojnë një gjuhë programimi më moderne, duke përfshirë veçori të reja dhe duke arritur një shkallë më të ulët zbulimi nga softueri i sigurisë.
Trojans bankar janë përhapur për t'u bërë një operacion global
Vitet e fundit, Brazili është shfaqur si një epiqendër globale për malware bankar. Pavarësisht origjinës në Brazil, këto programe kërcënuese kanë demonstruar aftësinë për të përshkuar oqeanet dhe kontinentet. Operatorët e aftë që qëndrojnë pas këtyre kërcënimeve kanë përvojë të gjerë në zhvillimin e Trojanëve bankarë dhe shfaqin një interes të madh për të zgjeruar sulmet e tyre në shkallë globale. Rrjedhimisht, studiuesit kanë vëzhguar raste të Trojanëve të bankës braziliane që synojnë entitete dhe individë aq të gjerë sa Australia dhe Evropa.
Një shembull i rëndësishëm është Grandoreiro , një Trojan me karakteristika të ngjashme që depërtoi me sukses jo vetëm në Meksikë dhe Spanjë, por gjithashtu e zgjeroi shtrirjen e tij shumë përtej atyre kufijve. Në kulmin e tij, ky kërcënim kishte një prani në gjithsej 41 vende.
Megjithatë, suksesi i këtyre operacioneve tërhoqi një kontroll të shtuar nga forcat e rendit. Në një lëvizje të dukshme që synon prishjen e ekosistemit nëntokësor kibernetik që lehtëson një malware të tillë, policia braziliane ekzekutoi pesë urdhër-arreste të përkohshme dhe 13 urdhëra kërkimi dhe sekuestrimi që synonin individët përgjegjës për Grandoreiro në pesë shtete në Brazil.
