Coyote Banking Trojan
Forskare grävde nyligen fram en unik banktrojan vid namn "Coyote", utformad för att samla in referenser för 61 onlinebankapplikationer. Det som skiljer Coyote-hotet är dess omfattande inriktning på appar inom banksektorn, med majoriteten koncentrerad till Brasilien. Denna trojan utmärker sig för sin komplicerade kombination av grundläggande och avancerade komponenter. Specifikt använder den en relativt ny öppen källkodsinstallerare som heter Squirrel, förlitar sig på NodeJs, använder det mindre vanliga programmeringsspråket 'Nim' och har över ett dussin skadliga funktioner. Den här upptäckten innebär ett anmärkningsvärt framsteg på Brasiliens blomstrande marknad för finansiell skadlig programvara, vilket kan innebära betydande utmaningar för säkerhetsteam om dess fokus skulle utökas ytterligare.
Innehållsförteckning
Brasilianska cyberbrottslingar har fokuserats på trojanska bankhot
Brasilianska utvecklare av skadlig programvara har aktivt skapat banktrojaner i över två decennier, som går tillbaka till minst 2000. Under 24 år av kontinuerlig utveckling, där de skickligt har navigerat och övervunnit framväxande autentiseringsmetoder och skyddstekniker, är deras kreativitet uppenbar, vilket exemplifieras av uppkomsten av den senaste trojanen.
Medan experter för närvarande lyfter fram Coyote som ett hot som främst fokuserar på brasilianska konsumenter, har organisationer övertygande skäl att noggrant övervaka dess potentiella kapacitet. Tidigare trender indikerar att skadliga programfamiljer som är framgångsrika på den brasilianska marknaden ofta utökar sin räckvidd internationellt. Därför måste företag och banker vara vaksamma och beredda att ta itu med Coyote om dess inverkan vidgar.
En annan avgörande faktor för säkerhetsteam ligger i den historiska utvecklingen av banktrojaner som utvecklas till fullfjädrade trojaner för första åtkomst och bakdörrar. Anmärkningsvärda exempel inkluderar transformationerna av Emotet och Trickbot och, på senare tid, QakBot och Ursinif. Detta mönster understryker vikten av att uppmärksamma uppkomsten av nya banktrojaner, eftersom de potentiellt kan utvecklas till mer sofistikerade hot.
Coyote Banking Trojan är utrustad med en dykare full av skadliga egenskaper
Coyote uppvisar ett utökat utbud av funktioner, vilket gör att den kan utföra olika kommandon som att ta skärmdumpar, logga tangenttryckningar, avsluta processer, stänga av maskinen och manipulera markören. Noterbart kan det också framkalla en maskinfrysning genom att lägga över en vilseledande skärm "Arbetar med uppdateringar...".
I sitt allmänna beteende följer Coyote det typiska mönstret för en modern banktrojan. Vid aktivering av en kompatibel app på ett infekterat system kommunicerar skadlig programvara med en angriparkontrollerad Command-and-Control-server (C2). Den presenterar sedan en övertygande nätfiske-överlagring på offrets skärm för att fånga inloggningsinformation. Emellertid utmärker sig Coyote genom sin skickliga undanflyktstaktik mot potentiella upptäckter.
Till skillnad från många banktrojaner som använder Windows Installers (MSI), som lätt kan upptäckas av cybersäkerhetsförsvarare, väljer Coyote Squirrel. Squirrel är ett legitimt verktyg med öppen källkod designat för att installera och uppdatera Windows-skrivbordsappar. Genom att utnyttja Squirrel, strävar Coyote efter att kamouflera sin skadliga inledande laddare, och presentera den som en till synes harmlös uppdateringspaketerare.
Slutstegets loader lägger till ytterligare ett lager av unikhet, eftersom det är kodat i det relativt ovanliga programmeringsspråket 'Nim'. Detta markerar ett av de första fallen där en banktrojan har observerats med Nim.
Traditionellt har banktrojaner till övervägande del skrivits i Delphi, ett äldre språk som ofta används i olika skadliga programfamiljer. Eftersom upptäcktsmetoderna för Delphi skadlig programvara har förbättrats under åren, minskade effektiviteten hos infektioner gradvis. Med antagandet av Nim, anammar Coyotes utvecklare ett modernare programmeringsspråk, som innehåller nya funktioner och uppnår en lägre upptäcktshastighet av säkerhetsprogramvara.
Banktrojaner har spridit sig till att bli en global verksamhet
Under de senaste åren har Brasilien vuxit fram som ett globalt epicentrum för bankskadlig programvara. Trots att de har sitt ursprung i Brasilien har dessa hotfulla program visat förmågan att korsa hav och kontinenter. De skickliga operatörerna bakom dessa hot har lång erfarenhet av att utveckla banktrojaner och visar ett stort intresse för att utöka sina attacker på en global skala. Följaktligen har forskare observerat fall av brasilianska banktrojaner som riktar sig mot enheter och individer så långtgående som Australien och Europa.
Ett anmärkningsvärt exempel är Grandoreiro , en trojan med liknande egenskaper som framgångsrikt infiltrerade inte bara Mexiko och Spanien utan också sträckte sin räckvidd långt utanför dessa gränser. På sin topp hade detta hot en närvaro i totalt 41 länder.
Framgången med dessa operationer lockade dock till ökad granskning från brottsbekämpande myndigheter. I ett anmärkningsvärt drag som syftade till att störa det underjordiska cyber-ekosystemet som underlättar sådan skadlig programvara, verkställde brasiliansk polis fem tillfälliga arresteringsorder och 13 eftersöknings- och beslagsorder riktade mot de personer som är ansvariga för Grandoreiro i fem delstater i Brasilien.
