Coyote 银行木马

研究人员最近发现了一种名为“Coyote”的独特银行木马，旨在获取 61 个在线银行应用程序的凭据。 Coyote 威胁的独特之处在于其广泛针对银行业应用程序，其中大部分集中在巴西。该特洛伊木马因其基本和高级组件的复杂组合而脱颖而出。具体来说，它采用了一种名为 Squirrel 的相对较新的开源安装程序，依赖 NodeJs，使用不太常见的编程语言“Nim”，并拥有十多种有害功能。这一发现标志着巴西蓬勃发展的金融恶意软件市场取得了显着的进步，如果其重点进一步扩大，可能会给安全团队带来重大挑战。

巴西网络犯罪分子一直关注银行木马威胁

巴西恶意软件开发人员二十多年来一直在积极制作银行木马，至少可以追溯到 2000 年。在 24 年的持续开发中，他们熟练地驾驭并克服了不断发展的身份验证方法和保护技术，他们的创造力是显而易见的，例如最新木马的出现。

虽然专家目前强调 Coyote 是主要针对巴西消费者的威胁，但组织有充分的理由密切监控其潜在能力。过去的趋势表明，在巴西市场取得成功的恶意软件家族往往会将其影响范围扩展到国际范围。因此，企业和银行必须保持警惕，并做好应对 Coyote 影响范围扩大的准备。

安全团队需要考虑的另一个重要因素是银行木马演变为成熟的初始访问木马和后门的历史进程。值得注意的例子包括Emotet和Trickbot的转变，以及最近的QakBot和Ursinif。这种模式强调了关注新银行木马出现的重要性，因为它们有可能演变成更复杂的威胁。

Coyote 银行木马配备了充满有害功能的潜水员

Coyote 展示了一系列增强的功能，使其能够执行各种命令，例如捕获屏幕截图、记录击键、终止进程、关闭机器和操作光标。值得注意的是，它还可以通过覆盖欺骗性的“正在更新......”屏幕来引发机器冻结。

在其一般行为中，Coyote 遵循现代银行木马的典型模式。在受感染系统上激活兼容应用程序后，恶意软件就会与攻击者控制的命令与控制 (C2) 服务器进行通信。然后，它会在受害者的屏幕上呈现令人信服的网络钓鱼覆盖层，以捕获登录信息。然而，Coyote 因其针对潜在检测的熟练规避策略而脱颖而出。

与许多利用 Windows Installer (MSI) 的银行木马不同，Coyote 选择了 Squirrel，很容易被网络安全防御者检测到。 Squirrel 是一个合法的开源工具，旨在安装和更新 Windows 桌面应用程序。通过利用 Squirrel，Coyote 努力伪装其恶意初始阶段加载程序，将其呈现为看似无害的更新打包程序。

最后阶段加载器增加了另一层独特性，采用相对不常见的编程语言“Nim”进行编码。这标志着使用 Nim 观察到银行木马的第一例。

传统上，银行木马主要是用 Delphi 编写的，这是一种广泛应用于各种恶意软件家族的较旧语言。多年来，随着Delphi恶意软件检测方法的不断改进，感染效率逐渐下降。随着 Nim 的采用，Coyote 的开发人员采用了更现代的编程语言，融入了新功能并降低了安全软件的检测率。

银行木马已蔓延至全球

近年来，巴西已成为全球银行恶意软件的中心。尽管起源于巴西，这些威胁性计划已经证明了穿越海洋和大陆的能力。这些威胁背后的熟练操作者在开发银行木马方面拥有丰富的经验，并且对在全球范围内扩大攻击表现出浓厚的兴趣。因此，研究人员观察到巴西银行木马针对影响深远的澳大利亚和欧洲的实体和个人的实例。

一个值得注意的例子是Grandoreiro ，这是一种具有类似特征的特洛伊木马，不仅成功渗透到墨西哥和西班牙，而且还将其影响范围远远超出了这些边界。在高峰期，这一威胁总共存在于 41 个国家。

然而，这些行动的成功引起了执法部门的严格审查。为了破坏此类恶意软件的地下网络生态系统，巴西警方采取了一项引人注目的举措，针对巴西 5 个州的 Grandoreiro 负责人发出了 5 份临时逮捕令和 13 份搜查令和扣押令。