Trojan ngân hàng Coyote
Các nhà nghiên cứu gần đây đã phát hiện ra một Trojan ngân hàng độc nhất có tên 'Coyote', được thiết kế để thu thập thông tin đăng nhập của 61 ứng dụng ngân hàng trực tuyến. Điều làm nên sự khác biệt của mối đe dọa Coyote là mục tiêu rộng rãi của nó là các ứng dụng trong lĩnh vực ngân hàng, phần lớn tập trung ở Brazil. Trojan này nổi bật nhờ sự kết hợp phức tạp giữa các thành phần cơ bản và nâng cao. Cụ thể, nó sử dụng một trình cài đặt nguồn mở tương đối mới có tên Squirrel, dựa trên NodeJ, sử dụng ngôn ngữ lập trình ít phổ biến hơn là 'Nim' và có hơn chục chức năng có hại. Phát hiện này cho thấy một tiến bộ đáng chú ý trong thị trường phần mềm độc hại tài chính đang phát triển mạnh ở Brazil, có khả năng đặt ra những thách thức đáng kể cho các nhóm bảo mật nếu trọng tâm của nó mở rộng hơn nữa.
Mục lục
Tội phạm mạng Brazil đã tập trung vào các mối đe dọa Trojan ngân hàng
Các nhà phát triển phần mềm độc hại người Brazil đã tích cực tạo ra các Trojan ngân hàng trong hơn hai thập kỷ, ít nhất là từ năm 2000. Trong suốt 24 năm phát triển liên tục, nơi họ đã điều hướng và vượt qua các phương pháp xác thực và công nghệ bảo vệ đang phát triển một cách thành thạo, sự sáng tạo của họ là điều hiển nhiên, như được minh họa bởi sự xuất hiện của Trojan mới nhất.
Trong khi các chuyên gia hiện nhấn mạnh Coyote là mối đe dọa chủ yếu tập trung vào người tiêu dùng Brazil, các tổ chức có lý do thuyết phục để giám sát chặt chẽ khả năng tiềm năng của nó. Xu hướng trong quá khứ chỉ ra rằng các dòng phần mềm độc hại thành công ở thị trường Brazil thường mở rộng phạm vi hoạt động ra quốc tế. Do đó, các tập đoàn và ngân hàng phải cảnh giác và chuẩn bị ứng phó với Coyote nếu tác động của nó mở rộng.
Một cân nhắc quan trọng khác đối với các nhóm bảo mật nằm ở tiến trình lịch sử của các Trojan ngân hàng phát triển thành các Trojan và cửa hậu truy cập ban đầu đầy đủ. Các trường hợp đáng chú ý bao gồm sự chuyển đổi của Emotet và Trickbot và gần đây hơn là QakBot và Ursinif. Mô hình này nhấn mạnh tầm quan trọng của việc chú ý đến sự xuất hiện của các Trojan ngân hàng mới, vì chúng có khả năng phát triển thành các mối đe dọa tinh vi hơn.
Trojan ngân hàng Coyote được trang bị một thợ lặn có đầy đủ các khả năng gây hại
Coyote thể hiện một loạt các chức năng nâng cao, cho phép nó thực hiện các lệnh đa dạng như chụp ảnh màn hình, ghi lại các lần nhấn phím, chấm dứt quá trình, tắt máy và thao tác con trỏ. Đáng chú ý, nó cũng có thể khiến máy bị treo bằng cách phủ lên màn hình 'Đang chạy bản cập nhật...' lừa đảo.
Trong hành vi chung của nó, Coyote tuân theo mô hình điển hình của một Trojan ngân hàng hiện đại. Khi kích hoạt một ứng dụng tương thích trên hệ thống bị nhiễm, phần mềm độc hại sẽ liên lạc với máy chủ Chỉ huy và Kiểm soát (C2) do kẻ tấn công kiểm soát. Sau đó, nó hiển thị lớp phủ lừa đảo thuyết phục trên màn hình của nạn nhân để nắm bắt thông tin đăng nhập. Tuy nhiên, Coyote tạo nên sự khác biệt nhờ chiến thuật lẩn tránh lão luyện trước những khả năng bị phát hiện.
Không giống như nhiều Trojan ngân hàng sử dụng Windows Installers (MSI), có thể dễ dàng bị các nhà bảo vệ an ninh mạng phát hiện, Coyote chọn Squirrel. Squirrel là một công cụ mã nguồn mở hợp pháp được thiết kế để cài đặt và cập nhật các ứng dụng máy tính để bàn Windows. Bằng cách tận dụng Squirrel, Coyote cố gắng ngụy trang trình tải giai đoạn đầu độc hại của nó, thể hiện nó như một trình đóng gói cập nhật dường như vô hại.
Trình tải giai đoạn cuối cùng bổ sung thêm một lớp tính độc đáo khác, được mã hóa bằng ngôn ngữ lập trình tương đối phổ biến 'Nim'. Điều này đánh dấu một trong những trường hợp đầu tiên phát hiện thấy Trojan ngân hàng sử dụng Nim.
Theo truyền thống, Trojan ngân hàng chủ yếu được viết bằng Delphi, một ngôn ngữ cũ được sử dụng rộng rãi trên nhiều dòng phần mềm độc hại khác nhau. Khi các phương pháp phát hiện phần mềm độc hại Delphi đã được cải thiện qua nhiều năm, hiệu quả lây nhiễm giảm dần. Với việc áp dụng Nim, các nhà phát triển của Coyote sử dụng ngôn ngữ lập trình hiện đại hơn, kết hợp các tính năng mới và đạt được tỷ lệ phát hiện thấp hơn bởi phần mềm bảo mật.
Trojan ngân hàng đã lan rộng để trở thành một hoạt động toàn cầu
Trong những năm gần đây, Brazil nổi lên như một trung tâm toàn cầu về phần mềm độc hại ngân hàng. Mặc dù có nguồn gốc từ Brazil, những chương trình đe dọa này đã chứng tỏ khả năng vượt qua các đại dương và lục địa. Những kẻ điều hành lão luyện đằng sau những mối đe dọa này có nhiều kinh nghiệm trong việc phát triển Trojan ngân hàng và thể hiện sự quan tâm sâu sắc đến việc mở rộng các cuộc tấn công của chúng trên quy mô toàn cầu. Do đó, các nhà nghiên cứu đã quan sát thấy các trường hợp Trojan ngân hàng Brazil nhắm mục tiêu vào các tổ chức và cá nhân ở phạm vi rộng như Úc và Châu Âu.
Một ví dụ đáng chú ý là Grandoreiro , một Trojan có đặc điểm tương tự đã xâm nhập thành công không chỉ Mexico và Tây Ban Nha mà còn mở rộng phạm vi hoạt động ra ngoài biên giới đó. Vào thời điểm cao điểm, mối đe dọa này đã hiện diện ở tổng cộng 41 quốc gia.
Tuy nhiên, sự thành công của các hoạt động này đã thu hút sự giám sát chặt chẽ từ cơ quan thực thi pháp luật. Trong một động thái đáng chú ý nhằm phá vỡ hệ sinh thái mạng ngầm tạo điều kiện cho phần mềm độc hại như vậy, cảnh sát Brazil đã thực hiện 5 lệnh bắt giữ tạm thời và 13 lệnh khám xét và thu giữ nhắm vào các cá nhân chịu trách nhiệm về Grandoreiro trên khắp 5 bang ở Brazil.
