Coyote 銀行木馬

研究人員最近發現了一種名為「Coyote」的獨特銀行木馬，旨在獲取 61 個線上銀行應用程式的憑證。 Coyote 威脅的獨特之處在於其廣泛針對銀行業應用程序，其中大部分集中在巴西。該特洛伊木馬因其基本和高級組件的複雜組合而脫穎而出。具體來說，它採用了一種名為 Squirrel 的相對較新的開源安裝程序，依賴 NodeJs，使用不太常見的程式語言“Nim”，並擁有十多種有害功能。這項發現標誌著巴西蓬勃發展的金融惡意軟體市場取得了顯著的進步，如果其重點進一步擴大，可能會給安全團隊帶來重大挑戰。

巴西網路犯罪分子一直關注銀行木馬威脅

巴西惡意軟體開發人員二十多年來一直在積極製作銀行木馬，至少可以追溯到2000 年。在24 年的持續開發中，他們熟練地駕馭並克服了不斷發展的身份驗證方法和保護技術，他們的創造力是顯而易見的，例如最新木馬的出現。

雖然專家目前強調 Coyote 是主要針對巴西消費者的威脅，但組織有充分的理由密切監控其潛在能力。過去的趨勢表明，在巴西市場取得成功的惡意軟體家族往往會將其影響範圍擴展到國際範圍。因此，企業和銀行必須保持警惕，並做好應對 Coyote 影響範圍擴大的準備。

安全團隊需要考慮的另一個重要因素是銀行木馬演變為成熟的初始訪問木馬和後門的歷史進程。值得注意的例子包括Emotet和Trickbot的轉變，以及最近的QakBot和Ursinif。這種模式強調了關注新銀行木馬出現的重要性，因為它們有可能演變成更複雜的威脅。

Coyote 銀行木馬配備了充滿有害功能的潛水員

Coyote 展示了一系列增強的功能，使其能夠執行各種命令，例如捕獲螢幕截圖、記錄擊鍵、終止進程、關閉機器和操作遊標。值得注意的是，它還可以透過覆蓋欺騙性的「正在更新...」螢幕來引發機器凍結。

在其一般行為中，Coyote 遵循現代銀行木馬的典型模式。在受感染系統上啟動相容應用程式後，惡意軟體就會與攻擊者控制的命令與控制 (C2) 伺服器進行通訊。然後，它會在受害者的螢幕上呈現令人信服的網路釣魚覆蓋層，以捕獲登入資訊。然而，Coyote 因其針對潛在檢測的熟練規避策略而脫穎而出。

與許多利用 Windows Installer (MSI) 的銀行木馬不同，Coyote 選擇了 Squirrel，很容易被網路安全防禦者偵測到。 Squirrel 是一個合法的開源工具，旨在安裝和更新 Windows 桌面應用程式。透過利用 Squirrel，Coyote 努力偽裝其惡意初始階段載入程序，將其呈現為看似無害的更新打包程序。

最後階段載入器增加了另一層獨特性，採用相對不常見的程式語言「Nim」進行編碼。這標誌著使用 Nim 觀察到銀行木馬的第一個例子。

傳統上，銀行木馬主要是用 Delphi 編寫的，這是一種廣泛應用於各種惡意軟體家族的較舊語言。多年來，隨著Delphi惡意軟體偵測方法的不斷改進，感染效率逐漸下降。隨著 Nim 的採用，Coyote 的開發人員採用了更現代的程式語言，融入了新功能並降低了安全軟體的偵測率。

銀行木馬已蔓延至全球

近年來，巴西已成為全球銀行惡意軟體的中心。儘管起源於巴西，這些威脅性計劃已經證明了穿越海洋和大陸的能力。這些威脅背後的熟練操作者在開發銀行木馬方面擁有豐富的經驗，並且對在全球範圍內擴大攻擊表現出濃厚的興趣。因此，研究人員觀察到巴西銀行木馬針對影響深遠的澳洲和歐洲的實體和個人的實例。

一個值得注意的例子是Grandoreiro ，這是一種具有類似特徵的特洛伊木馬，不僅成功滲透到墨西哥和西班牙，而且還將其影響範圍遠遠超出了這些邊界。在高峰期，這項威脅總共存在於 41 個國家。

然而，這些行動的成功引起了執法部門的嚴格審查。為了破壞此類惡意軟體的地下網路生態系統，巴西警方採取了一項引人注目的舉措，針對巴西 5 個州的 Grandoreiro 負責人發出了 5 份臨時逮捕令和 13 份搜查令和扣押令。