I ricercatori hanno scoperto un nuovo trojan bancario che hanno soprannominato “Coyote”, che cerca credenziali per 61 diverse applicazioni bancarie online.
"Coyote", dettagliato da Kaspersky in un'analisi oggi, si distingue sia per il suo ampio target di app del settore bancario (la maggior parte, per ora, in Brasile), sia per il suo sofisticato intreccio di diversi componenti rudimentali e avanzati: un programma di installazione open source relativamente nuovo chiamato Squirrel; NodiJ; un linguaggio di programmazione sconosciuto chiamato "Nim"; e più di una dozzina di funzionalità dannose. Nel complesso, rappresenta una notevole evoluzione nel fiorente mercato brasiliano del malware finanziario e potrebbe comportare grossi problemi per i team di sicurezza se espandesse la propria attenzione.
"Sviluppano trojan bancari da più di 20 anni: hanno iniziato nel 2000", afferma Fabio Assolini, capo del Latin American Global Research and Analysis Team (GReAT) di Kaspersky, degli sviluppatori di malware brasiliani. "In 24 anni di sviluppo e bypass di nuovi metodi di autenticazione e nuove tecnologie di protezione, sono stati molto creativi e lo potete vedere ora con questo nuovissimo Trojan."
Per ora potrebbe trattarsi di una minaccia per i consumatori focalizzata sul Brasile, ma come accennato, ci sono chiare ragioni per cui le organizzazioni dovrebbero essere a conoscenza di Coyote. Innanzitutto, come avverte Assolini, “le famiglie di malware che in passato hanno avuto successo nel mercato brasiliano si sono espanse anche all'estero. Ecco perché le aziende e le banche devono essere pronte ad affrontarlo”.
E un altro motivo per cui i team di sicurezza prestano attenzione all’emergere di nuovi trojan bancari è la loro storia evolvendosi in veri e propri Trojan ad accesso iniziale e backdoor; questo è stato il caso di Emotet e Trickbot, per esempioe più recentemente QakBot ed Ursinif.
Coyote ha funzionalità dietro le quinte per seguire l'esempio: può eseguire una serie di comandi, comprese le direttive per acquisire schermate, registrare sequenze di tasti, terminare processi, spegnere la macchina e spostare il cursore. Può anche bloccare completamente la macchina con un falso overlay "Lavoro sugli aggiornamenti...".
Il trojan Coyote corre con Scoiattolo e Nim
Finora nei suoi attacchi, Coyote si comporta come qualsiasi altro moderno trojan bancario: quando un'applicazione compatibile viene attivata su una macchina infetta, il malware invia un ping a un server di comando e controllo (C2) controllato dall'aggressore e visualizza un appropriato overlay di phishing sul computer della vittima. schermata per acquisire le informazioni di accesso di un utente. Coyote si distingue soprattutto per il modo in cui combatte i potenziali rilevamenti.
La maggior parte dei trojan bancari utilizzano Windows Installer (MSI), ha osservato Kaspersky nel suo post sul blog, rendendoli un facile campanello d'allarme per i difensori della sicurezza informatica. Ecco perché Coyote opta per Squirrel, uno strumento open source legittimo per l'installazione e l'aggiornamento delle app desktop Windows. Utilizzando Squirrel, Coyote tenta di mascherare il suo dannoso caricatore della fase iniziale come un creatore di pacchetti di aggiornamenti perfettamente onesto.
>Il suo caricatore di fase finale è ancora più unico, poiché è scritto in un linguaggio di programmazione relativamente di nicchia chiamato "Nim". Questo è il primo Trojan bancario che Kaspersky ha identificato utilizzando Nim.
“La maggior parte dei vecchi trojan bancari erano scritti in Delphi, che è piuttosto vecchio e utilizzato da molte famiglie. Quindi nel corso degli anni il rilevamento del malware Delphi è diventato molto buono e l’efficienza delle infezioni ha rallentato nel corso degli anni”, spiega Assolini. Con Nim, "hanno un linguaggio più moderno per programmare con nuove funzionalità e un basso tasso di rilevamento da parte dei software di sicurezza".
I trojan bancari brasiliani sono un problema globale
Se Coyote deve fare così tanto per distinguersi, è perché la quinta nazione più grande del mondo è diventata negli ultimi anni il principale hub mondiale per il malware bancario.
E per quanto terrorizzino i brasiliani, questi programmi hanno anche l’abitudine di farlo attraversamento di specchi d'acqua.
"Questi ragazzi hanno molta esperienza nello sviluppo di trojan bancari e sono ansiosi di espandere i loro attacchi in tutto il mondo", sottolinea Assolini. “In questo momento possiamo trovare trojan bancari brasiliani che attaccano aziende e persone anche in paesi lontani come l’Australia e l’Europa. Questa settimana, un membro del mio team ne ha trovato una nuova versione in Italia”.
Per dimostrare il potenziale futuro di uno strumento come Coyote, punta Assolini Grandoreiro, un Trojan simile che ha fatto breccia in Messico e Spagna ma anche ben oltre. Alla fine dello scorso autunno, dice, aveva raggiunto un totale di 41 paesi.
Un sottoprodotto di quel successo, tuttavia, fu maggiore controllo da parte delle forze dell’ordine. Nel tentativo di interrompere il libero flusso di cyber underground per questo tipo di malware, la polizia brasiliana ha fatto una mossa insolita: ha eseguito cinque mandati di arresto temporanei e 13 mandati di perquisizione e sequestro per gli architetti dietro Grandoreiro in cinque stati brasiliani.
“Il problema in Brasile è che non dispongono di forze dell'ordine locali molto efficaci per punire questi aggressori. Funziona meglio quando hai un’entità fuori dal paese che esercita una certa pressione, come è successo con Granadoreiro, quando la polizia e le banche in Spagna facevano pressioni sulla polizia federale brasiliana affinché catturassero questi ragazzi”, dice Assolini.
Quindi, conclude, "stanno migliorando, ma c'è ancora molta strada da fare, perché molti criminali informatici sono ancora liberi [in Brasile] e commettono numerosi attacchi in tutto il mondo".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- :ha
- :È
- 13
- 20
- 20 anni
- 2000
- 24
- 41
- 7
- a
- all'estero
- operanti in
- Avanzate
- Tutti
- anche
- americano
- an
- .
- ed
- Un altro
- in qualsiasi
- App
- applicazioni
- AMMISSIONE
- opportuno
- applicazioni
- architetti
- SONO
- arrestare
- AS
- At
- Attaccare
- attacchi
- Tentativi
- attenzione
- Australia
- Autenticazione
- consapevole
- lontano
- Backdoor
- Banca
- Settore bancario
- app bancarie
- malware bancario
- Banche
- BE
- perché
- diventare
- stato
- inizia
- dietro
- Meglio
- Al di là di
- Big
- Blog
- corpi
- entrambi
- Brasil
- Brasiliano
- brasiliani
- ampio
- ma
- by
- detto
- Materiale
- catturare
- Custodie
- lotta
- pulire campo
- commettere
- Aziende
- compatibile
- componenti
- conclude
- Consumatori
- Corporazioni
- potuto
- paesi
- nazione
- Creative
- Credenziali
- Cyber
- i criminali informatici
- Cybersecurity
- affare
- Difensori
- dimostrare
- tavolo
- dettagliati
- rivelazione
- sviluppatori
- in via di sviluppo
- diverso
- direttive
- scoperto
- display
- distinguere
- do
- don
- giù
- dozzina
- soprannominato
- desideroso
- facile
- efficienza
- emersione
- sottolinea
- fine
- applicazione
- entità
- Europa
- Anche
- evoluzione
- eseguire
- eseguito
- Espandere
- ampliato
- espande
- esperto
- Spiega
- falso
- Autunno
- famiglie
- lontano
- Caratteristiche
- Federale
- polizia federale
- finale
- finanziario
- Trovare
- Nome
- cinque
- Focus
- seguire
- Nel
- essere trovato
- Gratis
- Congelare
- da
- completamente
- funzionalità
- funzionalità
- futuro
- ottenere
- globali
- Go
- buono
- ha ottenuto
- grande
- abitudine
- ha avuto
- successo
- Avere
- he
- capo
- storia
- onesto
- Come
- Tuttavia
- HTTPS
- Hub
- caccia
- Caccia
- identificato
- if
- in
- Compreso
- infetto
- infezioni
- informazioni
- inizialmente
- installazione
- ai miglioramenti
- IT
- Italia
- SUO
- stessa
- jpg
- Kaspersky
- Uccidere
- Genere
- Lingua
- Cognome
- latino
- Latino-americano
- Legge
- applicazione della legge
- legittimo
- piace
- linea
- caricatore
- locale
- ceppo
- accesso
- Lunghi
- lotto
- lotti
- Basso
- macchina
- fatto
- Maggioranza
- Fare
- maligno
- il malware
- Rappresentanza
- mask
- Maggio..
- membro
- menzionato
- metodi
- Messico
- moderno
- Scopri di più
- maggior parte
- cambiano
- msi
- molti
- devono obbligatoriamente:
- my
- nazione
- New
- Nuove funzionalità
- nicchia
- notevole
- noto
- romanzo
- adesso
- of
- Vecchio
- on
- ONE
- online
- online banking
- aprire
- open source
- Opz
- minimo
- organizzazioni
- Altro
- su
- a titolo definitivo
- al di fuori
- ancora
- passato
- Paga le
- Persone
- perfettamente
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- Polizia
- Post
- potenziale
- premier
- preparato
- pressione
- Problema
- i processi
- Programma
- Programmazione
- Programmi
- protezione
- abbastanza
- gamma
- RARO
- tasso
- RE
- a raggiunto
- ragione
- motivi
- recente
- recentemente
- Rosso
- relativamente
- rappresenta
- riparazioni
- destra
- corre
- s
- dice
- allo
- screenshot
- scrutinio
- Cerca
- problemi di
- vedere
- Sequestro
- grave
- server
- chiuso
- fermare
- simile
- Rallentamento
- So
- Software
- alcuni
- sofisticato
- Fonte
- Spagna
- SILLABARE
- Sponsored
- Stage
- si
- iniziato
- stati
- step
- Ancora
- il successo
- Completo
- Affronto
- Fai
- mira
- team
- le squadre
- Tecnologie
- temporaneo
- di
- che
- I
- La linea
- il mondo
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- anche se?
- minaccia
- fiorente
- a
- oggi
- Totale
- verso
- innescato
- Trojan
- guaio
- sotterraneo
- unico
- Aggiornanento
- Aggiornamenti
- aggiornamento
- Utente
- utilizzando
- utilizzare
- utilizzati
- Ve
- versione
- molto
- Vittima
- avverte
- warrants
- Prima
- Modo..
- we
- settimana
- WELL
- sono stati
- quando
- quale
- perché
- finestre
- con
- lavoro
- lavori
- mondo
- In tutto il mondo
- scritto
- anno
- anni
- Tu
- zefiro