Банківський троян Coyote
Нещодавно дослідники знайшли унікальний банківський троян під назвою «Coyote», призначений для збору облікових даних для 61 онлайн-банківської програми. Що виділяє загрозу Coyote, так це широке націлювання на додатки банківського сектора, більшість зосереджена в Бразилії. Цей троян вирізняється складним поєднанням базових і розширених компонентів. Зокрема, він використовує відносно новий інсталятор з відкритим вихідним кодом під назвою Squirrel, покладається на NodeJs, використовує менш поширену мову програмування «Nim» і може похвалитися понад десятком шкідливих функцій. Це відкриття означає значний прогрес на процвітаючому бразильському ринку фінансового зловмисного програмного забезпечення, що потенційно може створити значні проблеми для команд безпеки, якщо його фокус буде розширено.
Зміст
Бразильські кіберзлочинці зосередилися на загрозах банківських троянів
Бразильські розробники зловмисного програмного забезпечення активно створюють банківські трояни вже понад два десятиліття, починаючи принаймні з 2000 року. Протягом 24 років безперервного розвитку, де вони вміло орієнтувалися та долали нові методи автентифікації та технології захисту, їх креативність очевидна, як приклад: поява останнього трояна.
Хоча експерти наразі виділяють Coyote як загрозу, зосереджену головним чином на бразильських споживачах, організації мають вагомі причини уважно стежити за його потенційними можливостями. Минулі тенденції свідчать про те, що родини зловмисного програмного забезпечення, успішні на бразильському ринку, часто розширюють свою діяльність на міжнародному рівні. Тому корпорації та банки повинні бути пильними та готовими протистояти Coyote, якщо його вплив розшириться.
Ще один важливий аспект для команд безпеки полягає в історичному прогресі банківських троянів, які еволюціонували до повноцінних троянів початкового доступу та бекдорів. Помітні приклади включають перетворення Emotet і Trickbot , а нещодавно QakBot і Ursinif. Ця модель підкреслює важливість звернення уваги на появу нових банківських троянів, оскільки вони потенційно можуть перетворитися на більш складні загрози.
Банківський троян Coyote оснащений Diver, повним шкідливих можливостей
Coyote демонструє розширений набір функціональних можливостей, що дозволяє йому виконувати різноманітні команди, такі як захоплення скріншотів, реєстрація натискань клавіш, завершення процесів, вимкнення машини та маніпулювання курсором. Примітно, що це також може викликати зависання машини, накладаючи оманливий екран «Робота над оновленнями…».
У своїй загальній поведінці Coyote дотримується типової моделі сучасного банківського трояна. Після активації сумісної програми в зараженій системі зловмисне програмне забезпечення зв’язується з контрольованим зловмисником сервером командування та керування (C2). Потім він представляє переконливе фішингове накладання на екрані жертви для захоплення інформації для входу. Однак Coyote вирізняється своєю вмілою тактикою ухилення від потенційних виявлень.
На відміну від багатьох банківських троянів, які використовують інсталятори Windows (MSI), які легко виявляються захисниками кібербезпеки, Coyote вибирає Squirrel. Squirrel — це законний інструмент із відкритим вихідним кодом, призначений для встановлення та оновлення настільних програм Windows. Використовуючи Squirrel, Coyote намагається замаскувати свій зловмисний початковий завантажувач, представляючи його як, здавалося б, нешкідливий пакувальник оновлень.
Завантажувач останнього етапу додає ще один рівень унікальності, будучи закодованим відносно незвичайною мовою програмування «Nim». Це один із перших випадків, коли банківський троян використовував Nim.
Традиційно банківські трояни переважно написані на Delphi, старішій мові, яка широко використовується в різних сімействах шкідливих програм. У міру вдосконалення методів виявлення зловмисного програмного забезпечення Delphi з роками ефективність зараження поступово знижувалася. З впровадженням Nim розробники Coyote використовують більш сучасну мову програмування, включаючи нові функції та досягаючи нижчого рівня виявлення програмним забезпеченням безпеки.
Банківські трояни поширилися, щоб стати глобальною операцією
Останніми роками Бразилія стала світовим епіцентром банківського шкідливого ПЗ. Незважаючи на те, що ці загрозливі програми зародилися в Бразилії, вони продемонстрували здатність долати океани та континенти. Досвідчені оператори, що стоять за цими загрозами, мають великий досвід у розробці банківських троянів і виявляють великий інтерес до поширення своїх атак у глобальному масштабі. Отже, дослідники спостерігали випадки бразильських банківських троянів, які націлювалися на юридичні та фізичні особи в таких масштабах, як Австралія та Європа.
Одним із яскравих прикладів є Grandoreiro , троян із подібними характеристиками, який успішно проник не лише в Мексику та Іспанію, але й розширив свою сферу дії далеко за межі цих кордонів. На піку ця загроза була присутня загалом у 41 країні.
Однак успіх цих операцій викликав пильну увагу з боку правоохоронних органів. У ході помітного кроку, спрямованого на порушення кіберпідпільної екосистеми, що сприяє створенню таких зловмисних програм, бразильська поліція виконала п’ять ордерів на тимчасовий арешт і 13 ордерів на обшук і конфіскацію осіб, відповідальних за Grandoreiro, у п’яти штатах Бразилії.
