Coyote Banking Trojan
Nahukay kamakailan ng mga mananaliksik ang isang natatanging Trojan sa pagbabangko na pinangalanang 'Coyote,' na idinisenyo upang mag-ani ng mga kredensyal para sa 61 online banking application. Ang ipinagkaiba sa banta ng Coyote ay ang malawak na pag-target nito sa mga app ng sektor ng pagbabangko, na ang karamihan ay puro sa Brazil. Ang Trojan na ito ay namumukod-tangi para sa masalimuot na kumbinasyon ng mga basic at advanced na bahagi. Sa partikular, gumagamit ito ng medyo bagong open-source installer na tinatawag na Squirrel, umaasa sa NodeJs, gumagamit ng hindi gaanong karaniwang programming language na 'Nim,' at ipinagmamalaki ang higit sa isang dosenang mapaminsalang functionality. Ang pagtuklas na ito ay nagpapahiwatig ng isang kapansin-pansing pagsulong sa umuusbong na merkado ng Brazil para sa pampinansyal na malware, na posibleng magdulot ng mga makabuluhang hamon para sa mga pangkat ng seguridad kung mas lumawak pa ang pagtuon nito.
Talaan ng mga Nilalaman
Ang Mga Cybercriminal ng Brazil ay Nakatuon sa Mga Banta ng Trojan sa Pagbabangko
Ang mga Brazilian malware developer ay aktibong gumagawa ng mga Trojan sa pagbabangko sa loob ng mahigit dalawang dekada, mula noong hindi bababa sa 2000. Sa buong 24 na taon ng tuluy-tuloy na pag-unlad, kung saan sila ay mahusay na nag-navigate at napagtagumpayan ang mga umuusbong na pamamaraan ng pagpapatunay at mga teknolohiya ng proteksyon, ang kanilang pagkamalikhain ay makikita, tulad ng ipinakita ng ang paglitaw ng pinakabagong Trojan.
Bagama't kasalukuyang itinatampok ng mga eksperto ang Coyote bilang isang banta na pangunahing nakatuon sa mga consumer ng Brazil, ang mga organisasyon ay may mapanghikayat na mga dahilan upang masubaybayan nang mabuti ang mga potensyal na kakayahan nito. Ang mga nakaraang trend ay nagpapahiwatig na ang mga pamilya ng malware na matagumpay sa Brazilian market ay kadalasang nagpapalawak ng kanilang abot sa buong mundo. Samakatuwid, ang mga korporasyon at mga bangko ay dapat maging mapagbantay at handa na tugunan ang Coyote sakaling lumawak ang epekto nito.
Ang isa pang mahalagang pagsasaalang-alang para sa mga pangkat ng seguridad ay nakasalalay sa makasaysayang pag-unlad ng mga Trojan sa pagbabangko na nagiging ganap na paunang pag-access na mga Trojan at backdoors. Kabilang sa mga kapansin-pansing pagkakataon ang mga pagbabago ng Emotet at Trickbot at, mas kamakailan, ang QakBot at Ursinif. Binibigyang-diin ng pattern na ito ang kahalagahan ng pagbibigay-pansin sa paglitaw ng mga bagong Trojan sa pagbabangko, dahil maaari silang maging mas sopistikadong pagbabanta.
Ang Coyote Banking Trojan ay Nilagyan ng Maninisid na Puno ng Mapanganib na Kakayahan
Nagpapakita ang Coyote ng pinahusay na hanay ng mga functionality, na nagbibigay-daan dito na magsagawa ng magkakaibang mga utos tulad ng pagkuha ng mga screenshot, pag-log keystroke, pagwawakas ng mga proseso, pagsara ng makina, at pagmamanipula sa cursor. Kapansin-pansin, maaari rin itong mag-udyok ng pag-freeze ng makina sa pamamagitan ng pag-overlay ng mapanlinlang na 'Paggawa sa mga update…' na screen.
Sa pangkalahatang pag-uugali nito, ang Coyote ay sumusunod sa tipikal na pattern ng isang modernong banking Trojan. Sa pag-activate ng isang katugmang app sa isang nahawaang system, nakikipag-ugnayan ang malware sa isang Command-and-Control (C2) server na kinokontrol ng attacker. Pagkatapos ay nagpapakita ito ng nakakumbinsi na phishing overlay sa screen ng biktima upang makuha ang impormasyon sa pag-log in. Gayunpaman, nakikilala ng Coyote ang sarili nito sa pamamagitan ng mahusay nitong mga taktika sa pag-iwas laban sa mga potensyal na pagtuklas.
Hindi tulad ng maraming mga Trojan sa pagbabangko na gumagamit ng Windows Installers (MSI), na madaling makita ng mga tagapagtanggol ng cybersecurity, pinili ni Coyote ang Squirrel. Ang Squirrel ay isang lehitimong open-source na tool na idinisenyo para sa pag-install at pag-update ng Windows desktop apps. Sa pamamagitan ng paggamit ng Squirrel, sinisikap ng Coyote na i-camouflage ang malisyosong paunang yugto ng loader nito, na ipinapakita ito bilang isang mukhang hindi nakakapinsalang update packager.
Ang huling stage loader ay nagdaragdag ng isa pang layer ng uniqueness, na naka-code sa medyo hindi karaniwang programming language na 'Nim.' Ito ay nagmamarka ng isa sa mga unang pagkakataon kung saan ang isang banking Trojan ay naobserbahan gamit ang Nim.
Ayon sa kaugalian, ang mga Trojan sa pagbabangko ay kadalasang nakasulat sa Delphi, isang mas lumang wika na malawakang ginagamit sa iba't ibang pamilya ng malware. Habang bumuti ang mga paraan ng pagtuklas para sa Delphi malware sa paglipas ng mga taon, unti-unting bumababa ang kahusayan ng mga impeksyon. Sa pagpapatibay ng Nim, ang mga developer ng Coyote ay yumakap sa isang mas modernong programming language, na nagsasama ng mga bagong feature at nakakamit ng mas mababang rate ng pagtuklas ng software ng seguridad.
Kumalat ang Banking Trojans para Maging Pandaigdigang Operasyon
Sa mga nakalipas na taon, ang Brazil ay lumitaw bilang isang pandaigdigang sentro ng malware sa pagbabangko. Sa kabila ng nagmula sa Brazil, ang mga nagbabantang programang ito ay nagpakita ng kakayahang tumawid sa mga karagatan at kontinente. Ang mga mahuhusay na operator sa likod ng mga banta na ito ay nagtataglay ng malawak na karanasan sa pagbuo ng mga Trojan sa pagbabangko at nagpapakita ng matinding interes sa pagpapalawak ng kanilang mga pag-atake sa isang pandaigdigang saklaw. Dahil dito, naobserbahan ng mga mananaliksik ang mga pagkakataon ng mga Trojan ng bangko sa Brazil na nagta-target sa mga entidad at indibidwal na kasing layo ng Australia at Europe.
Ang isang kapansin-pansing halimbawa ay ang Grandoreiro , isang Trojan na may katulad na mga katangian na matagumpay na nakalusot hindi lamang sa Mexico at Spain ngunit pinalawak din ang pag-abot nito nang lampas sa mga hangganang iyon. Sa kasagsagan nito, ang banta na ito ay nagkaroon ng presensya sa kabuuang 41 bansa.
Gayunpaman, ang tagumpay ng mga operasyong ito ay umakit ng mas mataas na pagsisiyasat mula sa pagpapatupad ng batas. Sa isang kapansin-pansing hakbang na naglalayong guluhin ang cyber underground ecosystem na nagpapadali sa naturang malware, nagpatupad ang Brazilian police ng limang temporary arrest warrant at 13 search and seizure warrant na nagta-target sa mga indibidwal na responsable para sa Grandoreiro sa limang estado sa Brazil.
