โทรจันโคโยตี้แบงก์กิ้ง
เมื่อเร็ว ๆ นี้นักวิจัยได้ค้นพบโทรจันการธนาคารที่มีลักษณะเฉพาะชื่อ 'Coyote' ซึ่งออกแบบมาเพื่อรวบรวมข้อมูลประจำตัวสำหรับแอปพลิเคชันธนาคารออนไลน์ 61 รายการ สิ่งที่ทำให้ภัยคุกคาม Coyote แตกต่างออกไปคือการกำหนดเป้าหมายไปที่แอปในภาคธนาคารอย่างกว้างขวาง โดยแอปส่วนใหญ่กระจุกตัวอยู่ในบราซิล โทรจันนี้โดดเด่นด้วยการผสมผสานที่ซับซ้อนระหว่างส่วนประกอบพื้นฐานและขั้นสูง โดยเฉพาะอย่างยิ่ง มีการใช้ตัวติดตั้งโอเพ่นซอร์สที่ค่อนข้างใหม่ที่เรียกว่า Squirrel ซึ่งอาศัย NodeJs ใช้ภาษาการเขียนโปรแกรม 'Nim' ที่ไม่ค่อยแพร่หลาย และมีฟังก์ชันที่เป็นอันตรายมากกว่าสิบรายการ การค้นพบนี้แสดงให้เห็นถึงความก้าวหน้าที่โดดเด่นในตลาดมัลแวร์ทางการเงินที่เจริญรุ่งเรืองของบราซิล ซึ่งอาจก่อให้เกิดความท้าทายที่สำคัญสำหรับทีมรักษาความปลอดภัยหากการมุ่งเน้นขยายออกไปอีก
สารบัญ
อาชญากรไซเบอร์ชาวบราซิลมุ่งความสนใจไปที่ภัยคุกคามจากโทรจันของธนาคาร
นักพัฒนามัลแวร์ชาวบราซิลได้สร้างโทรจันสำหรับธนาคารมานานกว่าสองทศวรรษ ย้อนกลับไปอย่างน้อยในปี 2000 ตลอด 24 ปีของการพัฒนาอย่างต่อเนื่อง โดยที่พวกเขาได้สำรวจและเอาชนะวิธีการพิสูจน์ตัวตนและเทคโนโลยีการป้องกันที่พัฒนาขึ้นอย่างเชี่ยวชาญ ความคิดสร้างสรรค์ของพวกเขาปรากฏชัดดังตัวอย่างโดย การเกิดขึ้นของโทรจันล่าสุด
ในขณะที่ผู้เชี่ยวชาญในปัจจุบันเน้นย้ำว่า Coyote เป็นภัยคุกคามที่มุ่งเป้าไปที่ผู้บริโภคชาวบราซิลเป็นหลัก แต่องค์กรต่างๆ ก็มีเหตุผลที่น่าสนใจในการติดตามความสามารถที่เป็นไปได้อย่างใกล้ชิด แนวโน้มในอดีตบ่งชี้ว่ากลุ่มมัลแวร์ที่ประสบความสำเร็จในตลาดบราซิลมักจะขยายการเข้าถึงไปยังต่างประเทศ ดังนั้น บริษัทและธนาคารจึงต้องระมัดระวังและเตรียมรับมือกับโคโยตี้หากผลกระทบขยายวงกว้างขึ้น
ข้อพิจารณาที่สำคัญอีกประการหนึ่งสำหรับทีมรักษาความปลอดภัยก็คือความก้าวหน้าในอดีตของโทรจันธนาคารที่พัฒนาไปสู่โทรจันและประตูหลังที่เข้าถึงได้อย่างสมบูรณ์ ตัวอย่างที่โดดเด่น ได้แก่ การเปลี่ยนแปลงของ Emotet และ Trickbot และล่าสุดคือ QakBot และ Ursinif รูปแบบนี้เน้นย้ำถึงความสำคัญของการให้ความสนใจกับการเกิดขึ้นของโทรจันธนาคารตัวใหม่ เนื่องจากพวกมันอาจพัฒนาไปสู่ภัยคุกคามที่ซับซ้อนมากขึ้น
โทรจัน Coyote Banking ติดตั้งนักดำน้ำที่เต็มไปด้วยความสามารถที่เป็นอันตราย
โคโยตี้แสดงฟังก์ชันการทำงานที่ได้รับการปรับปรุงใหม่ ซึ่งช่วยให้สามารถดำเนินการคำสั่งต่างๆ ได้ เช่น การจับภาพหน้าจอ การบันทึกการกดแป้นพิมพ์ การยกเลิกกระบวนการ การปิดเครื่อง และการจัดการเคอร์เซอร์ โดยเฉพาะอย่างยิ่ง มันยังสามารถทำให้เครื่องค้างได้ด้วยการซ้อนทับหน้าจอ 'กำลังดำเนินการอัปเดต…' ที่หลอกลวง
ในลักษณะทั่วไป โคโยตี้จะยึดตามรูปแบบทั่วไปของโทรจันการธนาคารสมัยใหม่ เมื่อเปิดใช้งานแอพที่เข้ากันได้บนระบบที่ติดไวรัส มัลแวร์จะสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ที่ผู้โจมตีควบคุม จากนั้นจะแสดงภาพซ้อนทับฟิชชิ่งที่น่าเชื่อบนหน้าจอของเหยื่อเพื่อเก็บข้อมูลการเข้าสู่ระบบ อย่างไรก็ตาม โคโยตี้สร้างความแตกต่างด้วยกลยุทธ์การหลบหลีกที่เชี่ยวชาญกับการตรวจจับที่อาจเกิดขึ้น
แตกต่างจากโทรจันธนาคารอื่นๆ ที่ใช้ Windows Installers (MSI) ซึ่งตรวจพบได้ง่ายโดยผู้พิทักษ์ความปลอดภัยทางไซเบอร์ Coyote เลือกใช้ Squirrel Squirrel เป็นเครื่องมือโอเพ่นซอร์สที่ถูกกฎหมายซึ่งออกแบบมาเพื่อการติดตั้งและอัปเดตแอปเดสก์ท็อป Windows ด้วยการใช้ประโยชน์จาก Squirrel ทำให้ Coyote พยายามอำพรางตัวโหลดระยะเริ่มแรกที่เป็นอันตราย โดยนำเสนอว่ามันเป็นแพ็คเกจอัพเดตที่ดูเหมือนจะไม่เป็นอันตราย
ตัวโหลดในขั้นตอนสุดท้ายจะเพิ่มความเป็นเอกลักษณ์อีกชั้นหนึ่ง โดยถูกเขียนด้วยภาษาการเขียนโปรแกรม 'Nim' ที่ค่อนข้างไม่ธรรมดา นี่ถือเป็นกรณีแรกๆ ที่มีการตรวจพบโทรจันธนาคารโดยใช้ Nim
ตามเนื้อผ้า โทรจันธนาคารส่วนใหญ่เขียนด้วยภาษา Delphi ซึ่งเป็นภาษาเก่าที่ใช้กันอย่างแพร่หลายในตระกูลมัลแวร์ต่างๆ เนื่องจากวิธีการตรวจจับมัลแวร์ Delphi ได้รับการปรับปรุงตลอดหลายปีที่ผ่านมา ประสิทธิภาพของการติดเชื้อจึงค่อยๆ ลดลง ด้วยการนำ Nim มาใช้ นักพัฒนาของ Coyote จึงเปิดรับภาษาการเขียนโปรแกรมที่ทันสมัยมากขึ้น โดยผสมผสานคุณสมบัติใหม่ๆ เข้าด้วยกัน และบรรลุอัตราการตรวจจับที่ต่ำลงโดยซอฟต์แวร์รักษาความปลอดภัย
โทรจันธนาคารได้แพร่กระจายไปสู่การดำเนินงานระดับโลก
ในช่วงไม่กี่ปีที่ผ่านมา บราซิลได้กลายเป็นศูนย์กลางระดับโลกของมัลแวร์ทางธนาคาร แม้จะมีต้นกำเนิดในบราซิล แต่โครงการคุกคามเหล่านี้ได้แสดงให้เห็นถึงความสามารถในการสำรวจมหาสมุทรและทวีปต่างๆ ผู้ปฏิบัติงานที่เชี่ยวชาญเบื้องหลังภัยคุกคามเหล่านี้มีประสบการณ์มากมายในการพัฒนาโทรจันธนาคาร และแสดงความสนใจอย่างยิ่งในการขยายการโจมตีในระดับโลก ด้วยเหตุนี้ นักวิจัยจึงได้สังเกตเห็นกรณีของโทรจันธนาคารของบราซิลที่กำหนดเป้าหมายไปยังหน่วยงานและบุคคลต่างๆ อย่างกว้างขวางเช่นออสเตรเลียและยุโรป
ตัวอย่างหนึ่งที่น่าสังเกตคือ Grandoreiro โทรจันที่มีลักษณะคล้ายกันซึ่งประสบความสำเร็จในการแทรกซึมไม่เพียงแต่ในเม็กซิโกและสเปนเท่านั้น แต่ยังขยายขอบเขตการเข้าถึงไปไกลกว่าขอบเขตเหล่านั้นด้วย เมื่อถึงจุดสูงสุด ภัยคุกคามนี้มีอยู่ในทั้งหมด 41 ประเทศ
อย่างไรก็ตาม ความสำเร็จของการดำเนินการเหล่านี้ดึงดูดให้มีการพิจารณาอย่างเข้มงวดมากขึ้นจากการบังคับใช้กฎหมาย ในการเคลื่อนไหวที่โดดเด่นซึ่งมีจุดมุ่งหมายเพื่อขัดขวางระบบนิเวศใต้ดินในโลกไซเบอร์ที่เอื้อต่อมัลแวร์ดังกล่าว ตำรวจบราซิลได้ดำเนินการออกหมายจับชั่วคราว 5 ฉบับ และหมายค้นและยึด 13 ฉบับ โดยมุ่งเป้าไปที่บุคคลที่รับผิดชอบต่อ Grandoreiro ใน 5 รัฐของบราซิล
