Cercetătorii au descoperit un nou troian bancar pe care l-au numit „Coyote”, care caută acreditări pentru 61 de aplicații bancare online diferite.
Coyote”, detaliat de Kaspersky într-o analiză astăzi, se remarcă atât prin direcționarea largă a aplicațiilor din sectorul bancar (majoritatea, deocamdată, în Brazilia), cât și prin împletirea sa sofisticată a diferitelor componente rudimentare și avansate: un program de instalare open source relativ nou numit Squirrel; NodeJs; un limbaj de programare necunoscut numit „Nim”; și mai mult de o duzină de funcționalități rău intenționate. În total, reprezintă o evoluție notabilă pe piața înfloritoare a malware-ului financiar din Brazilia – și ar putea provoca mari probleme pentru echipele de securitate dacă își extinde focalizarea.
„Au dezvoltat troieni bancari de mai bine de 20 de ani – au început în anul 2000”, spune Fabio Assolini, șeful echipei de cercetare și analiză globală din America Latină (GReAT) la Kaspersky, despre dezvoltatorii brazilieni de malware. „În 24 de ani de dezvoltare și ocolire a noilor metode de autentificare și a noilor tehnologii de protecție, aceștia au fost foarte creativi și o puteți vedea acum cu acest troian foarte nou.”
Poate fi o amenințare axată pe Brazilia pentru consumatori pentru moment, dar așa cum am menționat, există motive clare pentru ca organizațiile să fie conștiente de Coyote. În primul rând, așa cum avertizează Assolini, „familiile de malware care au avut succes în abordarea pieței din Brazilia în trecut s-au extins și în străinătate. De aceea, corporațiile și băncile trebuie să fie pregătite să se ocupe de asta.”
Și un alt motiv pentru care echipele de securitate să acorde atenție apariției noilor troieni bancari este istoria lor evoluând în troieni cu acces inițial complet și ușile din spate; acesta a fost cazul cu Emotet şi trickbot, de exempluși, mai recent, QakBot și Ursinif.
Coyote are funcționalități în aripi pentru a urma exemplul: poate executa o serie de comenzi, inclusiv directive pentru a face capturi de ecran, a înregistra apăsările de taste, a ucide procesele, a opri mașina și a-și muta cursorul. De asemenea, poate îngheța complet mașina cu o suprapunere falsă „Se lucrează la actualizări…”.
Troianul Coyote rulează cu veverița și Nim
Până în prezent, în atacurile sale, Coyote se comportă ca orice alt troian bancar modern: atunci când o aplicație compatibilă este declanșată pe o mașină infectată, malware-ul emite ping-ul unui server de comandă și control (C2) controlat de atacator afișează o suprapunere adecvată de phishing pe suprafața victimei. ecran pentru a captura informațiile de conectare ale unui utilizator. Totuși, Coyote se remarcă cel mai mult prin modul în care combate posibilele detectări.
Majoritatea troienilor bancari folosesc Windows Installers (MSI), a menționat Kaspersky în postarea sa de blog, făcându-i un semnal roșu ușor pentru apărătorii securității cibernetice. De aceea Coyote optează pentru Squirrel, un instrument open source legitim pentru instalarea și actualizarea aplicațiilor desktop Windows. Folosind Squirrel, Coyote încearcă să-și mascheze încărcătorul inițial rău intenționat ca un pachet de actualizări perfect sincer.
> Încărcătorul său final este și mai unic, deoarece este scris într-un limbaj de programare relativ de nișă numit „Nim”. Acesta este primul troian bancar pe care Kaspersky l-a identificat folosind Nim.
„Majoritatea vechilor troieni bancare au fost scrise în Delphi, care este destul de veche și utilizată în multe familii. Deci, de-a lungul anilor, detectarea malware-ului Delphi a devenit foarte bună, iar eficiența infecțiilor a încetinit de-a lungul anilor”, explică Assolini. Cu Nim, „au un limbaj mai modern de programat, cu funcții noi și o rată scăzută de detectare de către software-ul de securitate”.
Troienii bancari brazilian sunt o problemă globală
Dacă Coyote trebuie să facă atât de multe pentru a se distinge, este pentru că a cincea națiune din lume ca mărime a devenit în ultimii ani principalul hub din lume pentru malware bancar.
Și pentru cât îi terorizează pe brazilieni, aceste programe au și ele un obicei traversând corpuri de apă.
„Acești băieți sunt foarte experimentați în dezvoltarea troienilor bancare și sunt dornici să-și extindă atacurile la nivel mondial”, subliniază Assolini. „În acest moment, putem găsi troieni bănci brazilieni care atacă companii și oameni atât de departe ca Australia și Europa. Săptămâna aceasta, un membru al echipei mele a găsit o nouă versiune a uneia în Italia.”
Pentru a demonstra viitorul potențial pentru un instrument precum Coyote, arată Assolini Grandoreiro, un troian asemănător care a făcut incursiuni serioase în Mexic și Spania, dar și dincolo. Până la sfârșitul toamnei trecute, spune el, a ajuns la un total de 41 de țări.
Un produs secundar al acestui succes, însă, a fost control sporit din partea forțelor de ordine. Într-un pas către întreruperea subteranului cibernetic care curge liber pentru acest tip de malware, poliția braziliană a făcut o mișcare rară: a executat cinci mandate de arestare temporară și 13 mandate de percheziție și sechestru, pentru arhitecții din spatele Grandoreiro în cinci state braziliene.
„Problema din Brazilia este că nu au forțe de aplicare a legii locale foarte bune pentru a pedepsi acești atacatori. Funcționează mai bine atunci când aveți o entitate din afara țării care exercită presiuni, așa cum sa întâmplat cu Granadoreiro, când poliția și băncile din Spania făceau presiuni asupra poliției federale braziliene să-i prindă pe acești tipi”, spune Assolini.
Deci, concluzionează el, „se îmbunătățesc, dar mai este un drum lung de parcurs, pentru că mulți infractori cibernetici sunt încă liberi [în Brazilia] și comit o mulțime de atacuri în întreaga lume”.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- :are
- :este
- 13
- 20
- ani 20
- 2000
- 24
- 41
- 7
- a
- in strainatate
- peste
- avansat
- TOATE
- de asemenea
- american
- an
- analiză
- și
- O alta
- Orice
- aplicaţia
- aplicatii
- Aplicarea
- adecvat
- Apps
- arhitecți
- SUNT
- aresta
- AS
- At
- atacare
- Atacuri
- Încercările
- atenţie
- Australia
- Autentificare
- conştient
- departe
- Backdoors
- Bancă
- Bancar
- aplicații bancare
- malware bancar
- Băncile
- BE
- deoarece
- deveni
- fost
- începe
- în spatele
- Mai bine
- Dincolo de
- Mare
- Blog
- organisme
- atât
- Brazilia
- Brazilian
- Brazilieni
- larg
- dar
- by
- denumit
- CAN
- captura
- caz
- Captură
- clar
- săvârșire
- Companii
- compatibil
- componente
- conchide
- Consumatorii
- Corporații
- ar putea
- țări
- ţară
- Creator
- scrisori de acreditare
- Cyber
- cybercriminals
- Securitate cibernetică
- afacere
- apărătorii
- demonstra
- desktop
- detaliat
- Detectare
- Dezvoltatorii
- în curs de dezvoltare
- diferit
- instrucțiuni
- a descoperit
- afișează
- distinge
- do
- don
- jos
- duzină
- numit
- dornic
- uşor
- eficiență
- apariție
- subliniază
- capăt
- executare
- entitate
- Europa
- Chiar
- evoluţie
- a executa
- executat
- Extinde
- extins
- se extinde
- cu experienţă
- explică
- fals
- Cădea
- familii
- departe
- DESCRIERE
- federal
- poliția federală
- final
- financiar
- Găsi
- First
- cinci
- Concentra
- urma
- Pentru
- găsit
- Gratuit
- Îngheţa
- din
- complet
- funcționalități
- funcționalitate
- viitor
- obtinerea
- Caritate
- Go
- bine
- am
- mare
- obicei
- HAD
- sa întâmplat
- Avea
- he
- cap
- istorie
- sincer
- Cum
- Totuși
- HTTPS
- Butuc
- vânătoare
- Vânătoare
- identificat
- if
- in
- Inclusiv
- infectate
- infecţii
- informații
- inițială
- Instalarea
- în
- IT
- Italia
- ESTE
- în sine
- jpg
- Kaspersky
- Ucide
- Copil
- limbă
- Nume
- latin
- America Latină
- Drept
- de aplicare a legii
- legitim
- ca
- Linie
- încărcător
- local
- log
- Logare
- Lung
- Lot
- loturi
- Jos
- maşină
- făcut
- Majoritate
- Efectuarea
- rău
- malware
- Piață
- masca
- Mai..
- membru
- menționat
- Metode
- Mexic
- Modern
- mai mult
- cele mai multe
- muta
- msi
- mult
- trebuie sa
- my
- naţiune
- Nou
- Funcții noi
- nișă
- notabil
- notat
- roman
- acum
- of
- Vechi
- on
- ONE
- on-line
- online banking
- deschide
- open-source
- opteazã
- comandă
- organizații
- Altele
- afară
- direct
- exterior
- peste
- trecut
- Plătește
- oameni
- perfect
- Phishing
- Plato
- Informații despre date Platon
- PlatoData
- puncte
- Police
- Post
- potenţial
- premier
- pregătit
- presiune
- Problemă
- procese
- Program
- Programare
- Programe
- protecţie
- cu totul
- gamă
- RAR
- rată
- RE
- atins
- motiv
- motive
- recent
- recent
- Roșu
- relativ
- reprezintă
- cercetare
- dreapta
- ruleaza
- s
- spune
- Ecran
- capturi de ecran
- control
- Caută
- securitate
- vedea
- Confiscare
- serios
- serverul
- închide
- Închide
- asemănător
- încetinirea
- So
- Software
- unele
- sofisticat
- Sursă
- Spania
- VRAJA
- Sponsorizat
- Etapă
- Standuri
- început
- Statele
- Pas
- Încă
- succes
- Costum
- tackling
- Lua
- direcționare
- echipă
- echipe
- Tehnologii
- temporar
- decât
- acea
- Linia
- lumea
- lor
- Lor
- Acolo.
- Acestea
- ei
- acest
- în această săptămână
- deşi?
- amenințare
- înfloritor
- la
- astăzi
- instrument
- Total
- spre
- a declanșat
- troian
- necaz
- subteran
- unic
- Actualizează
- actualizări
- actualizarea
- Utilizator
- folosind
- folosi
- utilizate
- Ve
- versiune
- foarte
- Victimă
- avertizează
- Warrant
- a fost
- Cale..
- we
- săptămână
- BINE
- au fost
- cand
- care
- de ce
- ferestre
- cu
- de lucru
- fabrică
- lume
- la nivel internațional.
- scris
- an
- ani
- Tu
- zephyrnet