Дослідники виявили новий банківський троян, який вони назвали «Coyote», який шукає облікові дані для 61 різної програми онлайн-банкінгу.
"Coyote», детально описаний Касперським в аналізі сьогодні відомий широким націлюванням на програми банківського сектора (наразі більшість у Бразилії), а також складним переплетінням різних рудиментарних і просунутих компонентів: відносно новий інсталятор з відкритим кодом під назвою Squirrel; NodeJs; неоспівана мова програмування під назвою «Nim»; і більше десятка шкідливих функцій. Загалом, це являє собою помітну еволюцію на процвітаючому бразильському ринку фінансового зловмисного програмного забезпечення — і може спричинити серйозні проблеми для команд із безпеки, якщо розширить свою увагу.
«Вони розробляли банківські трояни більше 20 років — вони почали в 2000 році», — говорить про бразильських розробників шкідливого програмного забезпечення Фабіо Ассоліні, керівник Латиноамериканської групи глобальних досліджень і аналізу (GReAT) у Kaspersky. «За 24 роки розробки й обходу нових методів автентифікації та нових технологій захисту вони були дуже креативними, і ви можете побачити це зараз із цим самим новим трояном».
Наразі це може бути загроза для споживачів, зосереджена на Бразилії, але, як уже згадувалося, є чіткі причини для організацій, щоб знати про Coyote. По-перше, як попереджає Ассоліні, «сімейства шкідливих програм, які досягли успіху на бразильському ринку в минулому, також поширилися за кордоном. Ось чому корпорації та банки повинні бути готові впоратися з цим».
І ще однією причиною для відділів безпеки звернути увагу на появу нових банківських троянів є їхня історія перетворюються на повноцінні трояни початкового доступу і бекдори; це було у випадку з Emotet і Trickbot, наприкладі з недавніх пір, QakBot та Урсиніф.
Coyote має функціональність у крилах, щоб наслідувати цей приклад: він може виконувати низку команд, включаючи вказівки робити знімки екрана, реєструвати натискання клавіш, завершувати процеси, вимикати машину та переміщувати курсор. Він також може повністю заморозити машину за допомогою підробленого накладення «Робота над оновленнями…».
Троянець Coyote Runs With Squirrel & Nim
Поки що під час своїх атак Coyote поводиться як будь-який інший сучасний банківський троян: коли на зараженій машині запускається сумісна програма, зловмисне програмне забезпечення перевіряє командно-контрольний (C2) контрольований зловмисником сервер, показуючи відповідне фішингове накладення на сервері жертви. екран, щоб отримати інформацію для входу користувача. Однак Coyote найбільше виділяється тим, як він бореться з потенційними виявленнями.
Більшість банківських троянів використовують інсталятори Windows (MSI), Касперський зазначив у своєму блозі, що робить їх легким червоним прапорцем для захисників кібербезпеки. Ось чому Coyote обирає Squirrel, законний інструмент з відкритим кодом для встановлення й оновлення настільних програм Windows. Використовуючи Squirrel, Coyote намагається замаскувати свій зловмисний початковий завантажувач за цілком чесного пакувальника оновлень.
>Його завантажувач останньої стадії ще більш унікальний, оскільки він написаний відносно нішевою мовою програмування під назвою «Nim». Це перший банківський троян, який Kaspersky ідентифікував за допомогою Nim.
«Більшість старих банківських троянів були написані на Delphi, який є досить старим і використовується багатьма сім’ями. Тож з роками виявлення зловмисного програмного забезпечення Delphi стало дуже хорошим, а ефективність зараження з роками сповільнювалася», — пояснює Ассоліні. З Nim «у них є більш сучасна мова програмування з новими функціями та низьким рівнем виявлення програмним забезпеченням безпеки».
Бразильські банківські трояни є глобальною проблемою
Якщо Coyote так багато доводиться робити, щоб відзначитися, це тому, що п’ята за величиною країна в останні роки стала головним у світі центром банківського шкідливого програмного забезпечення.
І як би вони тероризували бразильців, ці програми також мають звичку перетинання водойм.
«Ці хлопці мають великий досвід у розробці банківських троянів, і вони прагнуть розширити свої атаки по всьому світу», — підкреслює Ассоліні. «Зараз ми можемо знайти бразильських банківських троянів, які атакують компанії та людей навіть у Австралії та Європі. Цього тижня член моєї команди знайшов нову версію в Італії».
Щоб продемонструвати потенційне майбутнє для такого інструменту, як Coyote, Ассоліні вказує на Grandoreiro, подібний троян що серйозно проникло в Мексику та Іспанію, а також далеко за їх межі. До кінця минулої осені, за його словами, він охопив загалом 41 країну.
Однак побічним продуктом цього успіху був посилений контроль з боку правоохоронних органів. На шляху до зриву вільного кіберпідпілля для такого роду зловмисного програмного забезпечення, бразильська поліція зробила рідкісний крок: вона виконала п’ять ордерів на тимчасовий арешт і 13 ордерів на обшук і конфіскацію для архітекторів Grandoreiro в п’яти бразильських штатах.
«Проблема в Бразилії полягає в тому, що вони не мають дуже хороших місцевих правоохоронних органів для покарання цих нападників. Це працює краще, коли у вас є організація за межами країни, яка чинить певний тиск, як це сталося з Гранадорейро, коли поліція та банки в Іспанії тиснули на бразильську федеральну поліцію, щоб вони спіймали цих хлопців», — каже Ассоліні.
Отже, підсумовує він, «вони стають кращими, але попереду ще довгий шлях, тому що багато кіберзлочинців все ще на волі [в Бразилії] та вчиняють багато атак по всьому світу».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- : має
- :є
- 13
- 20
- 20 роки
- 2000
- 24
- 41
- 7
- a
- за кордоном
- через
- просунутий
- ВСІ
- Також
- американська
- an
- аналіз
- та
- Інший
- будь-який
- додаток
- застосування
- Застосування
- відповідний
- додатка
- архітектори
- ЕСТЬ
- заарештувати
- AS
- At
- Атакуючий
- нападки
- Спроби
- увагу
- Австралія
- Authentication
- знати
- геть
- бекдори
- Банк
- Banking
- банківські програми
- банківське шкідливе програмне забезпечення
- Банки
- BE
- оскільки
- ставати
- було
- починається
- за
- Краще
- За
- Великий
- Блог
- органів
- обидва
- Brazil
- Бразильський
- Бразильці
- широкий
- але
- by
- званий
- CAN
- захоплення
- випадок
- Залучайте
- ясно
- здійснення
- Компанії
- сумісний
- Компоненти
- робить висновок
- Споживачі
- корпорації
- може
- країни
- країна
- Креатив
- Повноваження
- кібер-
- кіберзлочинці
- Кібербезпека
- угода
- Захисники
- демонструвати
- робочий стіл
- докладно
- Виявлення
- розробників
- розвивається
- різний
- директиви
- відкритий
- дисплеїв
- розрізняти
- do
- Дон
- вниз
- дюжина
- охрестили
- нетерпляче
- легко
- ефективність
- поява
- підкреслює
- кінець
- примус
- суб'єкта
- Європа
- Навіть
- еволюція
- виконувати
- виконано
- Розширювати
- розширений
- розширюється
- досвідчений
- Пояснює
- підроблений
- Падати
- сімей
- далеко
- риси
- Федеральний
- федеральна поліція
- остаточний
- фінансовий
- знайти
- Перший
- п'ять
- Сфокусувати
- стежити
- для
- знайдений
- Безкоштовна
- Заморожувати
- від
- повністю
- функціональні можливості
- функціональність
- майбутнє
- отримання
- Глобальний
- Go
- добре
- є
- великий
- звичка
- було
- сталося
- Мати
- he
- голова
- історія
- чесний
- Як
- Однак
- HTTPS
- Концентратор
- полювання
- Полювання
- ідентифікований
- if
- in
- У тому числі
- заражений
- інфекції
- інформація
- початковий
- установка
- в
- IT
- Італія
- ЙОГО
- сам
- JPG
- Kaspersky
- вбити
- Дитина
- мова
- останній
- Latin
- латиноамериканець
- закон
- правозастосування
- законний
- як
- Лінія
- завантажувач
- місцевий
- журнал
- Логін
- Довго
- серія
- багато
- низький
- машина
- made
- Більшість
- Робить
- malicious
- шкідливих програм
- ринок
- маска
- Може..
- член
- згаданий
- методика
- Мексика
- сучасний
- більше
- найбільш
- рухатися
- MSI
- багато
- повинен
- my
- народ
- Нові
- Нові можливості
- ніша
- Помітний
- зазначив,
- роман
- зараз
- of
- Старий
- on
- ONE
- онлайн
- онлайн Банкінг
- відкрити
- з відкритим вихідним кодом
- Опц
- порядок
- організації
- Інше
- з
- відверто
- поза
- над
- Минуле
- Платити
- Люди
- відмінно
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- точок
- Police
- пошта
- потенціал
- прем'єр-міністр
- підготовлений
- тиск
- Проблема
- процеси
- програма
- Програмування
- програми
- захист
- досить
- діапазон
- РІДНІ
- ставка
- RE
- досяг
- причина
- Причини
- останній
- нещодавно
- червоний
- щодо
- представляє
- дослідження
- право
- пробіжки
- s
- говорить
- Екран
- скріншоти
- огляд
- Пошук
- безпеку
- побачити
- Захоплення
- серйозний
- сервер
- закрити
- Вимикати
- аналогічний
- Уповільнення
- So
- Софтвер
- деякі
- складний
- Source
- Іспанія
- ОРФОГРАФІЯ
- Рекламні
- Стажування
- стенди
- почалася
- Штати
- Крок
- Як і раніше
- успіх
- костюм
- вирішення проблем
- Приймати
- націлювання
- команда
- команди
- Технології
- тимчасовий
- ніж
- Що
- Команда
- Лінія
- світ
- їх
- Їх
- Там.
- Ці
- вони
- це
- На цьому тижні
- хоча?
- загроза
- процвітає
- до
- сьогодні
- інструмент
- Усього:
- до
- спрацьовує
- троянець
- біда
- метро
- створеного
- Оновити
- Updates
- оновлення
- користувач
- використання
- використовувати
- використовувати
- Ve
- версія
- дуже
- Жертва
- Попереджає
- Ордери
- було
- шлях..
- we
- week
- ДОБРЕ
- були
- коли
- який
- чому
- windows
- з
- робочий
- працює
- світ
- світовий
- письмовий
- рік
- років
- Ти
- зефірнет