Badacze odkryli nowatorskiego trojana bankowego, którego nazwali „Coyote”, który poluje na dane uwierzytelniające dla 61 różnych aplikacji bankowości internetowej.
"Coyote” – szczegółowo opisał Kaspersky w swojej analizie dziś wyróżnia się zarówno szerokim ukierunkowaniem na aplikacje sektora bankowego (większość na razie w Brazylii), jak i wyrafinowanym przeplataniem różnych podstawowych i zaawansowanych komponentów: stosunkowo nowy instalator open source o nazwie Squirrel; WęzłyJ; niedoceniany język programowania zwany „Nim”; oraz kilkanaście złośliwych funkcjonalności. Ogólnie rzecz biorąc, stanowi to zauważalną ewolucję na kwitnącym brazylijskim rynku finansowego szkodliwego oprogramowania i może oznaczać poważne kłopoty dla zespołów ds. bezpieczeństwa, jeśli rozszerzy swój zakres działań.
„Tworzą trojany bankowe od ponad 20 lat — zaczęli w 2000 roku” – mówi o brazylijskich twórcach szkodliwego oprogramowania Fabio Assolini, szef Globalnego Zespołu ds. Badań i Analiz Ameryki Łacińskiej (GReAT) w firmie Kaspersky. „W ciągu 24 lat opracowywania i omijania nowych metod uwierzytelniania i nowych technologii ochrony wykazali się dużą kreatywnością, co widać teraz w przypadku tego zupełnie nowego trojana”.
Na razie może to być zagrożenie dla konsumentów skupione w Brazylii, ale jak wspomniano, istnieją wyraźne powody, dla których organizacje powinny mieć świadomość istnienia Coyote. Po pierwsze, jak ostrzega Assolini, „rodziny szkodliwego oprogramowania, które w przeszłości z sukcesem zwalczały rynek brazylijski, rozszerzyły się również za granicę. Dlatego korporacje i banki muszą być przygotowane, aby sobie z tym poradzić.”
Kolejnym powodem, dla którego zespoły ds. bezpieczeństwa zwracają uwagę na pojawienie się nowych trojanów bankowych, jest ich historia ewoluują w pełnoprawne trojany początkowego dostępu i tylne drzwi; tak było w przypadku Emotet i trickbot, na przykładi ostatnio QakBot i Ursynif.
Coyote ma funkcjonalność gotową do naśladowania: może wykonywać szereg poleceń, w tym instrukcje dotyczące robienia zrzutów ekranu, rejestrowania naciśnięć klawiszy, zabijania procesów, zamykania maszyny i przesuwania kursora. Może także całkowicie zawiesić komputer za pomocą fałszywej nakładki „Praca nad aktualizacjami…”.
Trojan Coyote działa z wiewiórką i Nim
Jak dotąd w swoich atakach Coyote zachowuje się jak każdy inny nowoczesny trojan bankowy: po uruchomieniu kompatybilnej aplikacji na zainfekowanej maszynie złośliwe oprogramowanie wysyła polecenie ping do kontrolowanego przez osobę atakującą serwera dowodzenia i kontroli (C2), wyświetlając odpowiednią nakładkę phishingową na komputerze ofiary ekranie w celu przechwycenia danych logowania użytkownika. Coyote wyróżnia się jednak najbardziej tym, jak radzi sobie z potencjalnymi wykryciami.
Jak zauważył Kaspersky w swoim poście na blogu, większość trojanów bankowych korzysta z instalatorów Windows (MSI), co czyni je łatwym sygnałem ostrzegawczym dla obrońców cyberbezpieczeństwa. Dlatego Coyote wybiera Squirrel, legalne narzędzie typu open source do instalowania i aktualizowania aplikacji komputerowych dla systemu Windows. Używając Squirrel, Coyote próbuje zamaskować swój złośliwy moduł ładujący początkowego etapu jako całkowicie uczciwy program pakujący aktualizacje.
>Jego moduł ładujący końcowy etap jest jeszcze bardziej wyjątkowy, ponieważ jest napisany w stosunkowo niszowym języku programowania o nazwie „Nim”. Jest to pierwszy trojan bankowy, który Kaspersky zidentyfikował za pomocą Nim.
„Większość starych trojanów bankowych została napisana w języku Delphi, który jest dość stary i używany w wielu rodzinach. Tak więc z biegiem lat wykrywanie złośliwego oprogramowania Delphi stało się bardzo dobre, a skuteczność infekcji malała” – wyjaśnia Assolini. Dzięki Nim „mają nowocześniejszy język do programowania z nowymi funkcjami i niskim współczynnikiem wykrywania przez oprogramowanie zabezpieczające”.
Brazylijskie trojany bankowe stanowią problem globalny
Jeśli Coyote musi zrobić tak wiele, aby się wyróżnić, to dlatego, że piąty co do wielkości kraj na świecie stał się w ostatnich latach najważniejszym na świecie ośrodkiem szkodliwego oprogramowania dla banków.
I choć terroryzują Brazylijczyków, programy te mają również zwyczaj przekraczanie zbiorników wodnych.
„Ci goście mają duże doświadczenie w tworzeniu trojanów bankowych i chętnie rozszerzają swoje ataki na cały świat” – podkreśla Assolini. „W tej chwili możemy znaleźć brazylijskie trojany bankowe atakujące firmy i ludzi tak odległych jak Australia i Europa. W tym tygodniu członek mojego zespołu znalazł we Włoszech nową wersję.”
Assolini wskazuje, że aby zademonstrować potencjalną przyszłość narzędzia takiego jak Coyote Grandoreiro, podobny trojan które poważnie wkroczyły do Meksyku i Hiszpanii, ale także daleko poza nią. Mówi, że do końca ostatniej jesieni dotarło ono w sumie do 41 krajów.
Jednak produktem ubocznym tego sukcesu był wzmożona kontrola ze strony organów ścigania. Krokiem w kierunku zakłócenia swobodnego przepływu cyberpodziemia zajmującego się tego rodzaju złośliwym oprogramowaniem brazylijska policja wykonała rzadki ruch: wykonała pięć tymczasowych nakazów aresztowania oraz 13 nakazów przeszukania i zajęcia architektów Grandoreiro w pięciu brazylijskich stanach.
„Problem w Brazylii polega na tym, że nie mają zbyt dobrych lokalnych organów ścigania, które mogłyby ukarać napastników. Działa to lepiej, gdy podmiot spoza kraju wywiera presję, jak miało to miejsce w przypadku Granadoreiro, kiedy policja i banki w Hiszpanii naciskały na brazylijską policję federalną, aby złapała tych gości” – mówi Assolini.
Podsumowując, „jest coraz lepiej, ale przed nami jeszcze długa droga, ponieważ wielu cyberprzestępców [w Brazylii] wciąż jest na wolności i przeprowadza wiele ataków na całym świecie”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- :ma
- :Jest
- 13
- 20
- 20 roku
- 2000
- 24
- 41
- 7
- a
- za granicą
- w poprzek
- zaawansowany
- Wszystkie kategorie
- również
- amerykański
- an
- analiza
- i
- Inne
- każdy
- Aplikacja
- aplikacje
- Stosowanie
- właściwy
- mobilne i webowe
- architekci
- SĄ
- aresztować
- AS
- At
- Napadający
- Ataki
- Próby
- Uwaga
- Australia
- Uwierzytelnianie
- świadomy
- z dala
- Backdoory
- Bank
- Bankowość
- aplikacje bankowe
- złośliwe oprogramowanie bankowe
- Banki
- BE
- bo
- stają się
- być
- zaczyna się
- za
- Ulepsz Swój
- Poza
- Duży
- Blog
- ciała
- obie
- Brazylia
- Brazylijczyk
- Brazylijczycy
- szeroki
- ale
- by
- nazywa
- CAN
- zdobyć
- walizka
- zapasy
- jasny
- zobowiązanie się
- Firmy
- zgodny
- składniki
- konkluduje
- Konsumenci
- Korporacje
- mógłby
- kraje
- kraj
- Twórczy
- Listy uwierzytelniające
- cyber
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- sprawa
- obrońcy
- wykazać
- stacjonarny
- szczegółowe
- Wykrywanie
- deweloperzy
- rozwijanie
- różne
- Dyrektywy
- odkryty
- wyświetlacze
- rozróżniać
- do
- darowizna
- na dół
- tuzin
- dubbingowane
- chętny
- łatwo
- efektywność
- powstanie
- podkreśla
- zakończenia
- egzekwowanie
- jednostka
- Europie
- Parzyste
- ewolucja
- wykonać
- wykonany
- Rozszerzać
- rozszerzony
- rozszerza się
- doświadczony
- Objaśnia
- imitacja
- Spadać
- rodzin
- daleko
- Korzyści
- Federalny
- policja federalna
- finał
- budżetowy
- Znajdź
- i terminów, a
- pięć
- Skupiać
- obserwuj
- W razie zamówieenia projektu
- znaleziono
- Darmowy
- Zamrażać
- od
- w pełni
- funkcjonalności
- Funkcjonalność
- przyszłość
- miejsce
- Globalne
- Go
- dobry
- got
- wspaniały
- nawyk
- miał
- się
- Have
- he
- głowa
- historia
- uczciwy
- W jaki sposób
- Jednak
- HTTPS
- Piasta
- polowanie
- Łowiectwo
- zidentyfikowane
- if
- in
- Włącznie z
- zarażony
- Infekcje
- Informacja
- początkowy
- Instalacja
- najnowszych
- IT
- Włochy
- JEGO
- samo
- jpg
- Kaspersky
- Zabić
- Uprzejmy
- język
- Nazwisko
- łacina
- Ameryki Łacińskiej
- Prawo
- egzekwowanie prawa
- prawowity
- lubić
- Linia
- ładowarka
- miejscowy
- log
- Zaloguj Się
- długo
- Partia
- dużo
- niski
- maszyna
- zrobiony
- Większość
- Dokonywanie
- złośliwy
- malware
- rynek
- maska
- Może..
- członek
- wzmiankowany
- metody
- Meksyk
- Nowoczesne technologie
- jeszcze
- większość
- ruch
- msi
- dużo
- musi
- my
- naród
- Nowości
- Nowe funkcje
- nisza
- dostojnik
- zauważyć
- powieść
- już dziś
- of
- Stary
- on
- ONE
- Online
- bankowości online
- koncepcja
- open source
- Opcje
- zamówienie
- organizacji
- Inne
- na zewnątrz
- wprost
- zewnętrzne
- koniec
- Przeszłość
- Zapłacić
- Ludzie
- doskonale
- phishing
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- Policja
- Post
- potencjał
- premier
- przygotowany
- nacisk
- Problem
- procesów
- Program
- Programowanie
- Programy
- ochrona
- całkiem
- zasięg
- RZADKO SPOTYKANY
- Kurs
- RE
- osiągnięty
- powód
- Przyczyny
- niedawny
- niedawno
- Czerwony
- stosunkowo
- reprezentuje
- Badania naukowe
- prawo
- działa
- s
- mówią
- Ekran
- screeny
- badanie
- Szukaj
- bezpieczeństwo
- widzieć
- Konfiskata
- poważny
- serwer
- zamknąć
- zamknąć
- podobny
- Spowolnienie
- So
- Tworzenie
- kilka
- wyrafinowany
- Źródło
- Hiszpania
- Zaklęcie
- Łącza
- STAGE
- stojaki
- rozpoczęty
- Zjednoczone
- Ewolucja krok po kroku
- Nadal
- sukces
- Garnitur
- zwalczanie
- Brać
- kierowania
- zespół
- Zespoły
- Technologies
- tymczasowy
- niż
- że
- Połączenia
- Linia
- świat
- ich
- Im
- Tam.
- Te
- one
- to
- w tym tygodniu
- chociaż?
- groźba
- kwitną
- do
- już dziś
- narzędzie
- Kwota produktów:
- w kierunku
- rozsierdzony
- trojański
- kłopot
- pod ziemią
- wyjątkowy
- Aktualizacja
- Nowości
- aktualizowanie
- Użytkownik
- za pomocą
- wykorzystać
- wykorzystany
- Ve
- wersja
- początku.
- Ofiara
- Ostrzega
- Warranty
- była
- Droga..
- we
- tydzień
- DOBRZE
- były
- jeśli chodzi o komunikację i motywację
- który
- dlaczego
- okna
- w
- pracujący
- działa
- świat
- na calym swiecie
- napisany
- rok
- lat
- You
- zefirnet