Des chercheurs ont découvert un nouveau cheval de Troie bancaire qu'ils ont surnommé « Coyote », qui recherche les informations d'identification de 61 applications bancaires en ligne différentes.
"Coyote », détaillé par Kaspersky dans une analyse aujourd'hui, se distingue à la fois par son large ciblage des applications du secteur bancaire (la majorité, pour l'instant, au Brésil), et par son imbrication sophistiquée de différents composants rudimentaires et avancés : un programme d'installation open source relativement nouveau appelé Squirrel ; NodeJ ; un langage de programmation méconnu appelé « Nim » ; et plus d'une douzaine de fonctionnalités malveillantes. Dans l’ensemble, cela représente une évolution notable sur le marché florissant des logiciels malveillants financiers au Brésil – et pourrait causer de gros problèmes à long terme aux équipes de sécurité s’il élargit son champ d’action.
« Ils développent des chevaux de Troie bancaires depuis plus de 20 ans – ils ont commencé en 2000 », explique Fabio Assolini, responsable de l'équipe latino-américaine de recherche et d'analyse (GReAT) chez Kaspersky, à propos des développeurs de logiciels malveillants brésiliens. "En 24 ans passés à développer et à contourner de nouvelles méthodes d'authentification et de nouvelles technologies de protection, ils ont fait preuve d'une grande créativité, et vous pouvez le constater aujourd'hui avec ce tout nouveau cheval de Troie."
Il s'agit peut-être pour l'instant d'une menace centrée sur le Brésil pour les consommateurs, mais comme mentionné, il y a des raisons évidentes pour que les organisations soient conscientes de Coyote. D’une part, comme le prévient Assolini, « les familles de malwares qui ont réussi à s’attaquer au marché brésilien dans le passé se sont également étendues à l’étranger. C'est pourquoi les entreprises et les banques doivent être prêtes à y faire face.»
Et une autre raison pour laquelle les équipes de sécurité doivent prêter attention à l'émergence de nouveaux chevaux de Troie bancaires est leur histoire de évoluer vers des chevaux de Troie d'accès initial à part entière et les portes dérobées ; ce fut le cas avec Emotet et Trickbot, par exempleet plus récemment, QakBot ainsi que les Ursinif.
Coyote a des fonctionnalités dans les coulisses pour emboîter le pas : il peut exécuter une gamme de commandes, y compris des directives pour prendre des captures d'écran, enregistrer les frappes au clavier, tuer des processus, arrêter la machine et déplacer son curseur. Il peut aussi carrément figer la machine avec une fausse superposition « Travailler sur les mises à jour… ».
Le cheval de Troie Coyote fonctionne avec Squirrel et Nim
Jusqu'à présent, dans ses attaques, Coyote se comporte comme n'importe quel autre cheval de Troie bancaire moderne : lorsqu'une application compatible est déclenchée sur une machine infectée, le malware envoie une requête ping à un serveur de commande et de contrôle (C2) contrôlé par l'attaquant et affiche une superposition de phishing appropriée sur le serveur de la victime. écran afin de capturer les informations de connexion d'un utilisateur. Coyote se démarque cependant surtout par la façon dont il combat les détections potentielles.
La plupart des chevaux de Troie bancaires utilisent Windows Installers (MSI), a noté Kaspersky dans son article de blog, ce qui en fait un signal d'alarme facile pour les défenseurs de la cybersécurité. C'est pourquoi Coyote opte pour Squirrel, un outil open source légitime pour installer et mettre à jour les applications de bureau Windows. En utilisant Squirrel, Coyote tente de masquer son chargeur de phase initial malveillant en un packager de mise à jour parfaitement honnête.
>Son chargeur de phase finale est encore plus unique, car il est écrit dans un langage de programmation relativement spécialisé appelé « Nim ». Il s’agit du tout premier cheval de Troie bancaire identifié par Kaspersky utilisant Nim.
« La plupart des anciens chevaux de Troie bancaires ont été écrits en Delphi, un langage assez ancien et utilisé par de nombreuses familles. Ainsi, au fil des années, la détection des logiciels malveillants Delphi est devenue très bonne et l'efficacité des infections a ralenti au fil des années », explique Assolini. Avec Nim, « ils disposent d’un langage plus moderne pour programmer avec de nouvelles fonctionnalités et un faible taux de détection par les logiciels de sécurité ».
Les chevaux de Troie bancaires brésiliens constituent un problème mondial
Si Coyote doit faire tant de choses pour se distinguer, c'est parce que le cinquième plus grand pays du monde est devenu ces dernières années la première plaque tournante mondiale des logiciels malveillants bancaires.
Et s'ils terrorisent les Brésiliens, ces programmes ont aussi pour habitude de traverser des plans d'eau.
« Ces types sont très expérimentés dans le développement de chevaux de Troie bancaires et sont impatients d'étendre leurs attaques à l'échelle mondiale », souligne Assolini. « À l’heure actuelle, nous pouvons trouver des chevaux de Troie bancaires brésiliens attaquant des entreprises et des personnes aussi loin qu’en Australie et en Europe. Cette semaine, un membre de mon équipe en a trouvé une nouvelle version en Italie.
Pour démontrer l'avenir potentiel d'un outil comme Coyote, Assolini souligne Grandoreiro, un cheval de Troie similaire qui a fait de sérieuses incursions au Mexique et en Espagne, mais aussi bien au-delà. À la fin de l’automne dernier, dit-il, le projet avait touché un total de 41 pays.
Toutefois, un des sous-produits de ce succès a été surveillance accrue de la part des forces de l’ordre. Dans le but de perturber la libre circulation de ce type de malware dans le cyber-underground, la police brésilienne a pris une décision rare : elle a exécuté cinq mandats d'arrêt temporaires et 13 mandats de perquisition et de saisie pour les architectes derrière Grandoreiro dans cinq États brésiliens.
« Le problème au Brésil est qu'il n'y a pas de très bonnes forces de l'ordre locales pour punir ces agresseurs. Cela fonctionne mieux lorsqu’une entité à l’extérieur du pays exerce une certaine pression, comme cela s’est produit avec Granadoreiro, lorsque la police et les banques espagnoles faisaient pression sur la police fédérale brésilienne pour qu’elle arrête ces types », explique Assolini.
Ainsi, conclut-il, « ils s'améliorent, mais il reste encore beaucoup de chemin à parcourir, car de nombreux cybercriminels sont encore en liberté [au Brésil] et commettent de nombreuses attaques dans le monde entier ».
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- :possède
- :est
- 13
- 20
- 20 ans
- 2000
- 24
- 41
- 7
- a
- à l'étranger
- à travers
- Avancée
- Tous
- aussi
- Américaine
- an
- selon une analyse de l’Université de Princeton
- ainsi que les
- Une autre
- tous
- appli
- applications
- Application
- approprié
- applications
- architectes
- SONT
- arrêter
- AS
- At
- Attaquer
- Attaques
- Tentatives
- précaution
- Australie
- Authentification
- conscients
- et
- Backdoors
- Banque
- Services bancaires
- applications bancaires
- malware bancaire
- Banks
- BE
- car
- devenez
- était
- commence
- derrière
- Améliorée
- Au-delà
- Big
- Blog
- corps
- tous les deux
- Brasil
- Brésilien
- Les brésiliens
- vaste
- mais
- by
- appelé
- CAN
- capturer
- maisons
- Attraper
- clair
- commettre
- Sociétés
- compatible
- composants électriques
- conclut
- Les consommateurs
- Corporations
- pourriez
- d'exportation
- Pays
- Conception
- Lettres de créance
- cyber
- les cybercriminels
- Cybersécurité
- affaire
- défenseurs
- démontrer
- à poser
- détaillé
- Détection
- mobiles
- développement
- différent
- directives
- découvert
- affiche
- distinguer
- do
- Don
- down
- douzaine
- doublé
- désireux
- Easy
- efficace
- émergence
- souligne
- fin
- mise en vigueur
- entité
- Europe
- Pourtant, la
- évolution
- exécuter
- réalisé
- Développer vous
- étendu
- se développe
- expérimenté
- Explique
- faux
- Automne
- familles
- loin
- Fonctionnalités:
- National
- police fédérale
- finale
- la traduction de documents financiers
- Trouvez
- Prénom
- cinq
- Focus
- suivre
- Pour
- trouvé
- Gratuit
- Geler
- de
- d’étiquettes électroniques entièrement
- fonctionnalités
- avenir
- obtention
- Global
- Go
- Bien
- eu
- l'
- habitude
- ait eu
- arrivé
- Vous avez
- he
- front
- Histoire
- honnête
- Comment
- Cependant
- HTTPS
- Moyeu
- chasse
- Chasse
- identifié
- if
- in
- Y compris
- infecté
- infections
- d'information
- initiale
- installer
- développement
- IT
- Italie
- SES
- lui-même
- jpg
- Kaspersky
- Tuer
- Genre
- langue
- Nom de famille
- Danses latines
- Amérique latine
- Droit applicable et juridiction compétente
- application de la loi
- légitime
- comme
- Gamme
- chargeur
- locales
- enregistrer
- vous connecter
- Location
- Lot
- beaucoup
- Faible
- click
- LES PLANTES
- Majorité
- Fabrication
- malveillant
- malware
- Marché
- masque
- Mai..
- membre
- mentionné
- méthodes
- Mexique
- Villas Modernes
- PLUS
- (en fait, presque toutes)
- Bougez
- msi
- beaucoup
- must
- my
- nation
- Nouveauté
- Nouvelles fonctionnalités
- niche
- notable
- noté
- roman
- maintenant
- of
- Vieux
- on
- ONE
- en ligne
- services bancaires en ligne
- ouvert
- open source
- Options
- de commander
- organisations
- Autre
- ande
- carrément
- au contrôle
- plus de
- passé
- Payer
- Personnes
- à la perfection
- phishing
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- Police
- Post
- défaillances
- premier
- préparé
- la parfaite pression
- Problème
- les process
- Programme
- Programmation
- Programmes
- protection
- assez
- gamme
- RARE
- Tarif
- RE
- atteint
- raison
- Les raisons
- récent
- récemment
- Rouge
- relativement
- représente
- un article
- bon
- fonctionne
- s
- dit
- pour écran
- screenshots
- examen minutieux
- Rechercher
- sécurité
- sur le lien
- Saisie
- grave
- serveur
- fermer
- arrêter
- similaires
- Le ralentissement de la
- So
- Logiciels
- quelques
- sophistiqué
- Identifier
- Espagne
- ÉPELER
- Sponsorisé
- Étape
- peuplements
- j'ai commencé
- États
- étapes
- Encore
- succès
- Combinaison
- s'attaquer
- Prenez
- ciblage
- équipe
- équipes
- Les technologies
- temporaire
- que
- qui
- Les
- La ligne
- le monde
- leur
- Les
- Là.
- Ces
- l'ont
- this
- cette semaine
- bien que?
- menace
- prospère
- à
- aujourd'hui
- outil
- Total
- vers
- déclenché
- Trojan
- difficulté
- souterrain
- expérience unique et authentique
- Mises à jour
- Actualités
- la mise à jour
- Utilisateur
- en utilisant
- utiliser
- utilisé
- Ve
- version
- très
- Victime
- Avertit
- Mandats
- était
- Façon..
- we
- semaine
- WELL
- ont été
- quand
- qui
- why
- fenêtres
- comprenant
- de travail
- vos contrats
- world
- partout dans le monde
- code écrit
- an
- années
- Vous n'avez
- zéphyrnet