Исследователи обнаружили нового банковского трояна, который они назвали «Coyote», который ищет учетные данные для 61 различного приложения онлайн-банкинга.
Койот», подробно описанный Касперским в анализе сегодня примечателен как широкой ориентацией на приложения банковского сектора (большинство на данный момент в Бразилии), так и сложным переплетением различных элементарных и продвинутых компонентов: относительно новый установщик с открытым исходным кодом под названием Squirrel; NodeJs; невоспетый язык программирования под названием «Ним»; и более дюжины вредоносных функций. В целом, это представляет собой заметную эволюцию на процветающем бразильском рынке финансового вредоносного ПО и может создать большие проблемы для команд безопасности в будущем, если расширит сферу своей деятельности.
«Они разрабатывают банковские трояны уже более 20 лет — они начали в 2000 году», — говорит Фабио Ассолини, руководитель латиноамериканской группы глобальных исследований и анализа (GReAT) «Лаборатории Касперского», о бразильских разработчиках вредоносного ПО. «За 24 года разработки и обхода новых методов аутентификации и новых технологий защиты они проявили себя очень изобретательно, и вы можете увидеть это сейчас на примере этого совершенно нового трояна».
Возможно, на данный момент это угроза для потребителей, ориентированная на Бразилию, но, как уже упоминалось, у организаций есть четкие причины знать о Coyote. Во-первых, как предупреждает Ассолини, «семейства вредоносных программ, которые в прошлом добились успеха на бразильском рынке, также распространились за границу. Вот почему корпорации и банки должны быть готовы к этому».
Еще одной причиной, по которой службы безопасности обращают внимание на появление новых банковских троянов, является их история превращаются в полноценные трояны начального доступа и бэкдоры; так было с Emotet и Trickbot, например, и совсем недавно, КакБот и Урсиниф.
У Coyote есть функции на крыльях, которые могут последовать его примеру: он может выполнять ряд команд, включая директивы по созданию снимков экрана, регистрации нажатий клавиш, завершению процессов, выключению компьютера и перемещению курсора. Он также может полностью заморозить компьютер с помощью фальшивого наложения «Работа над обновлениями…».
Троянец Койот работает с белкой и Нимом
Пока что в своих атаках Coyote ведет себя как любой другой современный банковский троян: когда на зараженном компьютере запускается совместимое приложение, вредоносная программа пингует управляемый злоумышленником сервер управления и контроля (C2), отображающий соответствующее фишинговое наложение на компьютере жертвы. экран, чтобы захватить информацию для входа пользователя. Однако больше всего Coyote выделяется тем, как он борется с возможным обнаружением.
Большинство банковских троянов используют установщики Windows (MSI), отмечает Касперский в своем блоге, что делает их тревожным сигналом для защитников кибербезопасности. Вот почему Койот выбирает Squirrel, законный инструмент с открытым исходным кодом для установки и обновления настольных приложений Windows. Используя Squirrel, Coyote пытается замаскировать свой вредоносный загрузчик начальной стадии под совершенно честного упаковщика обновлений.
>Его загрузчик последней стадии еще более уникален, поскольку он написан на относительно узком языке программирования под названием «Nim». Это первый банковский троян, обнаруженный Касперским с помощью Nim.
«Большинство старых банковских троянов были написаны на Delphi, который довольно старый и используется во многих семьях. Таким образом, с годами обнаружение вредоносных программ Delphi стало очень хорошим, а эффективность заражений с годами снижалась», — объясняет Ассолини. Благодаря Nim «у них есть более современный язык программирования с новыми функциями и низким уровнем обнаружения программным обеспечением безопасности».
Бразильские банковские трояны — глобальная проблема
Если Coyote нужно сделать так много, чтобы отличиться, то это потому, что пятая по величине страна в мире в последние годы стала главным мировым центром банковского вредоносного ПО.
И хотя эти программы терроризируют бразильцев, они также имеют привычку пересечение водоемов.
«Эти ребята имеют большой опыт разработки банковских троянов и стремятся распространить свои атаки по всему миру», — подчеркивает Ассолини. «Прямо сейчас мы можем обнаружить, что бразильские банковские трояны атакуют компании и людей даже в Австралии и Европе. На этой неделе член моей команды нашел новую версию в Италии».
Чтобы продемонстрировать потенциальное будущее такого инструмента, как Coyote, Ассолини указывает на Grandoreiro, аналогичный троян это привело к серьезному проникновению в Мексику и Испанию, но также и далеко за ее пределы. По его словам, к концу прошлой осени оно охватило в общей сложности 41 страну.
Однако побочным продуктом этого успеха стало повышенное внимание со стороны правоохранительных органов. В качестве шага к пресечению своего свободного киберподполья для такого рода вредоносных программ бразильская полиция сделала редкий шаг: они выдали пять ордеров на временный арест и 13 ордеров на обыск и арест архитекторов Грандорейро в пяти бразильских штатах.
«Проблема в Бразилии в том, что у них нет очень хороших местных правоохранительных органов, способных наказать нападавших. Это работает лучше, когда у вас есть организация за пределами страны, оказывающая определенное давление, как это произошло с Гранадорейро, когда полиция и банки в Испании оказывали давление на федеральную полицию Бразилии, чтобы поймать этих парней», — говорит Ассолини.
Итак, заключает он, «они становятся лучше, но предстоит пройти долгий путь, потому что многие киберпреступники все еще на свободе [в Бразилии] и совершают множество атак по всему миру».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- :имеет
- :является
- 13
- 20
- 20 лет
- 2000
- 24
- 41
- 7
- a
- за границу
- через
- продвинутый
- Все
- причислены
- американские
- an
- анализ
- и
- Другой
- любой
- приложение
- Приложения
- Применение
- соответствующий
- Программы
- Архитекторы
- МЫ
- арестовать
- AS
- At
- Атакующий
- нападки
- попытки
- внимание
- Австралия
- Аутентификация
- знать
- прочь
- Черные ходы
- Банка
- Банковское дело
- банковские приложения
- банковское вредоносное ПО
- Банки
- BE
- , так как:
- становиться
- было
- начинается
- за
- Лучшая
- Beyond
- большой
- Блог
- органов
- изоферменты печени
- Бразилия
- бразильский
- бразильцы
- широкий
- но
- by
- под названием
- CAN
- захватить
- случаев
- Привлекайте
- Очистить
- совершение
- Компании
- совместим
- компоненты
- заключает
- Потребители
- Корпорации
- может
- страны
- страна
- творческий
- Полномочия
- кибер-
- киберпреступники
- Информационная безопасность
- сделка
- Защитники
- демонстрировать
- компьютера
- подробный
- обнаружение
- застройщиков
- развивающийся
- различный
- Директивы
- открытый
- дисплеев
- выделить
- do
- Дон
- вниз
- дюжина
- дублированный
- нетерпеливый
- легко
- затрат
- появление
- подчеркивает
- конец
- принуждение
- организация
- Европе
- Даже
- эволюция
- выполнять
- выполненный
- Расширьте
- расширенный
- раскрываться
- опытные
- Объясняет
- не настоящие
- Осень
- семей
- далеко
- Особенности
- Федеральный
- федеральная полиция
- окончательный
- финансовый
- Найдите
- First
- 5
- Фокус
- следовать
- Что касается
- найденный
- Бесплатно
- Замораживать
- от
- полностью
- функциональные возможности
- функциональность
- будущее
- получающий
- Глобальный
- Go
- хорошо
- есть
- большой
- привычка
- было
- произошло
- Есть
- he
- история
- честный
- Как
- Однако
- HTTPS
- хаб
- Охота
- охота
- идентифицированный
- if
- in
- В том числе
- инфицированный
- инфекции
- информация
- начальный
- Установка
- в
- IT
- Италии
- ЕГО
- саму трезвость
- JPG
- Kaspersky
- Убийство
- Вид
- язык
- Фамилия
- латинский
- Латинской Америки
- закон
- правоохранительной
- законный
- такое как
- линия
- загрузчик
- локальным
- журнал
- Войти
- Длинное
- серия
- много
- Низкий
- машина
- сделанный
- Большинство
- Создание
- злонамеренный
- вредоносных программ
- рынок
- маска
- Май..
- член
- упомянутый
- методы
- Мексика
- Модерн
- БОЛЕЕ
- самых
- двигаться
- MSI
- много
- должен
- my
- народ
- Новые
- Новые функции
- ниша
- примечательный
- отметил,
- роман
- сейчас
- of
- Старый
- on
- ONE
- онлайн
- онлайн-банкинг
- открытый
- с открытым исходным кодом
- КЛЮЧ
- заказ
- организации
- Другое
- внешний
- прямой
- внешнюю
- за
- мимо
- ОПЛАТИТЬ
- Люди
- в совершенстве
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- Полиция
- После
- потенциал
- премьер-министр
- подготовленный
- давление
- Проблема
- Процессы
- FitPartner™
- Программирование
- Программы
- защиту
- вполне
- ассортимент
- РЕДКИЙ
- Обменный курс
- RE
- достиг
- причина
- причины
- последний
- недавно
- Red
- относительно
- представляет
- исследованиям
- правую
- работает
- s
- говорит
- экран
- скриншоты
- рассмотрение
- Поиск
- безопасность
- посмотреть
- Захват
- серьезный
- сервер
- закрывать
- выключать
- аналогичный
- Замедление
- So
- Software
- некоторые
- сложный
- Источник
- Испания
- SPELL
- Спонсоров
- Этап
- стоит
- и политические лидеры
- Области
- Шаг
- По-прежнему
- успех
- Костюм
- Tackling
- взять
- направлены
- команда
- команды
- технологии
- временный
- чем
- который
- Ассоциация
- Линия
- мир
- их
- Их
- Там.
- Эти
- они
- этой
- На этой неделе
- хоть?
- угроза
- процветающий
- в
- сегодня
- инструментом
- Всего
- к
- срабатывает
- троянец
- беда
- метро
- созданного
- Обновление ПО
- Updates
- обновление
- Информация о пользователе
- через
- использовать
- использовать
- Ve
- версия
- очень
- Жертва
- предупреждает
- варранты
- законопроект
- Путь..
- we
- неделя
- ЧТО Ж
- были
- когда
- который
- зачем
- окна
- работает
- работает
- Мир
- по всему миру
- письменный
- год
- лет
- Ты
- зефирнет