Цоиоте банковни тројанац
Истраживачи су недавно открили јединствени банкарски тројанац под називом 'Цоиоте', дизајниран за прикупљање акредитива за 61 апликацију за онлајн банкарство. Оно што издваја Којотску претњу јесте њено опсежно циљање на апликације у банкарском сектору, при чему је већина концентрисана у Бразилу. Овај тројанац се истиче својом замршеном комбинацијом основних и напредних компоненти. Конкретно, користи релативно нови инсталатер отвореног кода под називом Скуиррел, ослања се на НодеЈс, користи мање уобичајен програмски језик 'Ним' и може се похвалити преко десетак штетних функционалности. Ово откриће означава значајан напредак на бразилском тржишту финансијског малвера који цвета, што потенцијално представља значајне изазове за безбедносне тимове уколико се његов фокус даље прошири.
Преглед садржаја
Бразилски сајбер криминалци фокусирани су на претње банкарским тројанцима
Бразилски програмери злонамерног софтвера активно су креирали банкарске тројанце више од две деценије, од најмање 2000. године. Током 24 године непрекидног развоја, где су се вешто кретали и превазилазили еволуирајуће методе аутентификације и технологије заштите, њихова креативност је очигледна, као што је пример појава најновијег Тројанца.
Док стручњаци тренутно истичу Којот као претњу првенствено усмерену на бразилске потрошаче, организације имају убедљиве разлоге да пажљиво прате његове потенцијалне могућности. Претходни трендови указују да породице злонамерног софтвера које су успешне на бразилском тржишту често проширују свој домет на међународном нивоу. Стога, корпорације и банке морају бити будне и спремне да се позабаве Којотом ако се његов утицај прошири.
Још једно кључно разматрање за безбедносне тимове лежи у историјском напретку банкарских тројанаца који су еволуирали у тројанце за почетни приступ и бекдоре. Значајни примери укључују трансформације Емотета и Трицкбота и, у скорије време, КакБота и Урсинифа. Овај образац наглашава важност обраћања пажње на појаву нових банкарских тројанаца, јер би они потенцијално могли да еволуирају у софистицираније претње.
Банкарски тројанац Цоиоте је опремљен дивером пуним штетних могућности
Цоиоте показује побољшани опсег функционалности, омогућавајући му да извршава различите команде као што су снимање снимака екрана, евидентирање притисака на тастере, завршетак процеса, гашење машине и манипулација курсором. Нарочито, такође може да изазове замрзавање машине преклапањем варљивог екрана „Рад на ажурирањима…“.
У свом општем понашању, Којот се придржава типичног обрасца савременог банкарског тројанца. Након активације компатибилне апликације на зараженом систему, малвер комуницира са сервером за команду и контролу (Ц2) који контролише нападач. Затим представља убедљив пхисхинг прекривач на екрану жртве да би се ухватиле информације за пријаву. Међутим, Којот се истиче својом вештом тактиком избегавања потенцијалних детекција.
За разлику од многих банкарских тројанаца који користе Виндовс Инсталлере (МСИ), које заштитници сајбер безбедности лако могу открити, Цоиоте се одлучује за Скуиррел. Скуиррел је легитимна алатка отвореног кода дизајнирана за инсталирање и ажурирање Виндовс десктоп апликација. Користећи Скуиррел, Цоиоте настоји да закамуфлира свој злонамерни учитавач почетних фаза, представљајући га као наизглед безопасан пакет за ажурирање.
Учитавач завршне фазе додаје још један слој јединствености, који је кодиран у релативно неуобичајеном програмском језику 'Ним'. Ово је један од првих случајева када је банкарски тројанац примећен коришћењем Нима.
Традиционално, банкарски тројанци су претежно писани у Делпхију, старијем језику који се широко користи у разним породицама малвера. Како су се методе откривања Делпхи малвера током година побољшавале, ефикасност инфекција је постепено опадала. Са усвајањем Ним-а, програмери Цоиоте-а прихватају модернији програмски језик, уграђујући нове функције и постижући нижу стопу детекције од стране безбедносног софтвера.
Банкарски тројанци су се проширили да би постали глобална операција
Последњих година Бразил се појавио као глобални епицентар банкарског злонамерног софтвера. Упркос томе што потичу из Бразила, ови претећи програми су показали способност да прелазе океане и континенте. Вешти оператери који стоје иза ових претњи поседују велико искуство у развоју банкарских тројанаца и показују велики интерес за ширење својих напада на глобалном нивоу. Сходно томе, истраживачи су приметили случајеве бразилских банковних тројанаца који циљају на ентитете и појединце далекосежне попут Аустралије и Европе.
Један пример вредан пажње је Грандореиро , тројанац са сличним карактеристикама који се успешно инфилтрирао не само у Мексико и Шпанију, већ је проширио свој домет далеко изван тих граница. На свом врхунцу, ова претња је била присутна у укупно 41 земљи.
Међутим, успех ових операција изазвао је појачану контролу органа за спровођење закона. У значајном потезу који има за циљ нарушавање сајбер подземног екосистема који омогућава такав злонамерни софтвер, бразилска полиција је извршила пет привремених налога за хапшење и 13 налога за претрес и заплену усмерених на особе одговорне за Грандореиро у пет држава у Бразилу.
