Các nhà nghiên cứu đã phát hiện ra một loại Trojan ngân hàng mới mà họ đặt tên là “Coyote”, đang tìm kiếm thông tin xác thực cho 61 ứng dụng ngân hàng trực tuyến khác nhau.
"Coyote,” được Kaspersky trình bày chi tiết trong một phân tích ngày nay, đáng chú ý cả vì mục tiêu rộng rãi của nó là các ứng dụng trong lĩnh vực ngân hàng (hiện nay phần lớn là ở Brazil) và sự đan xen phức tạp của các thành phần thô sơ và nâng cao khác nhau: một trình cài đặt nguồn mở tương đối mới có tên là Squirrel; NodeJ; một ngôn ngữ lập trình chưa được biết đến tên là “Nim”; và hơn chục chức năng độc hại. Nói chung, nó thể hiện một sự phát triển đáng chú ý trong thị trường phần mềm độc hại tài chính đang phát triển mạnh ở Brazil - và có thể gây ra rắc rối lớn cho các đội bảo mật nếu nó mở rộng trọng tâm.
Fabio Assolini, người đứng đầu Nhóm nghiên cứu và phân tích toàn cầu Mỹ Latinh (GReAT) tại Kaspersky, nói về các nhà phát triển phần mềm độc hại Brazil: “Họ đã phát triển Trojan ngân hàng trong hơn 20 năm - bắt đầu từ năm 2000”. “Trong 24 năm phát triển và vượt qua các phương thức xác thực mới cũng như công nghệ bảo vệ mới, họ đã rất sáng tạo và giờ đây bạn có thể thấy điều đó với Trojan rất mới này.”
Hiện tại, nó có thể là mối đe dọa tập trung vào Brazil đối với người tiêu dùng, nhưng như đã đề cập, có nhiều lý do rõ ràng để các tổ chức biết đến Coyote. Thứ nhất, như Assolini cảnh báo, “các dòng phần mềm độc hại đã thành công trong việc tấn công thị trường Brazil trước đây cũng đã mở rộng ra nước ngoài. Đó là lý do tại sao các tập đoàn và ngân hàng phải chuẩn bị sẵn sàng để đối phó với nó.”
Và một lý do khác để các đội bảo mật chú ý đến sự xuất hiện của các Trojan ngân hàng mới là lịch sử tấn công của chúng. phát triển thành các Trojan truy cập ban đầu hoàn chỉnh và cửa hậu; đây là trường hợp của Emotet và Trickbot, ví dụvà gần đây hơn QakBot và Ursinif.
Coyote có chức năng trong cánh để làm theo: Nó có thể thực thi một loạt lệnh, bao gồm các lệnh chụp ảnh màn hình, ghi lại các lần nhấn phím, tắt tiến trình, tắt máy và di chuyển con trỏ. Nó cũng có thể đóng băng hoàn toàn máy với lớp phủ “Đang làm việc trên các bản cập nhật…” giả mạo.
Trojan Coyote chạy với Squirrel & Nim
Cho đến nay, trong các cuộc tấn công của mình, Coyote hoạt động giống như bất kỳ Trojan ngân hàng hiện đại nào khác: Khi một ứng dụng tương thích được kích hoạt trên máy bị nhiễm, phần mềm độc hại sẽ gửi tín hiệu tới máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công kiểm soát và hiển thị lớp phủ lừa đảo thích hợp trên máy tính của nạn nhân. màn hình để nắm bắt thông tin đăng nhập của người dùng. Tuy nhiên, Coyote nổi bật nhất về cách nó chống lại các khả năng bị phát hiện.
Kaspersky lưu ý trong bài đăng trên blog của mình rằng hầu hết các Trojan ngân hàng đều sử dụng Windows Installers (MSI), khiến chúng trở thành cảnh báo dễ dàng cho các nhà bảo vệ an ninh mạng. Đó là lý do tại sao Coyote chọn Squirrel, một công cụ nguồn mở hợp pháp để cài đặt và cập nhật các ứng dụng máy tính để bàn Windows. Bằng cách sử dụng Squirrel, Coyote cố gắng che giấu trình tải giai đoạn đầu độc hại của nó như một trình đóng gói cập nhật hoàn toàn trung thực.
>Trình tải giai đoạn cuối của nó thậm chí còn độc đáo hơn, vì nó được viết bằng ngôn ngữ lập trình tương đối thích hợp có tên là “Nim”. Đây là Trojan ngân hàng đầu tiên được Kaspersky phát hiện bằng cách sử dụng Nim.
“Hầu hết các Trojan ngân hàng cũ đều được viết bằng Delphi, khá cũ và được nhiều gia đình sử dụng. Vì vậy, trong những năm qua, việc phát hiện phần mềm độc hại Delphi trở nên rất tốt và hiệu quả lây nhiễm đang chậm lại theo năm tháng”, Assolini giải thích. Với Nim, “họ có ngôn ngữ lập trình hiện đại hơn với các tính năng mới và tỷ lệ bị phần mềm bảo mật phát hiện thấp”.
Trojan ngân hàng Brazil là một vấn đề toàn cầu
Nếu Coyote phải nỗ lực rất nhiều để tạo nên sự khác biệt, đó là vì quốc gia lớn thứ năm thế giới trong những năm gần đây đã trở thành trung tâm hàng đầu thế giới về phần mềm độc hại ngân hàng.
Và dù chúng khủng bố người Brazil đến đâu, các chương trình này cũng có thói quen băng qua vùng nước.
Assolini nhấn mạnh: “Những kẻ này rất có kinh nghiệm trong việc phát triển Trojan ngân hàng và chúng mong muốn mở rộng các cuộc tấn công của mình trên toàn thế giới”. “Ngay bây giờ, chúng ta có thể tìm thấy Trojan ngân hàng Brazil tấn công các công ty và người dân ở những nơi xa như Úc và Châu Âu. Tuần này, một thành viên trong nhóm của tôi đã tìm thấy một phiên bản mới của nó ở Ý.”
Để chứng minh tương lai tiềm năng của một công cụ như Coyote, Assolini chỉ ra Grandoreiro, một Trojan tương tự đã xâm nhập nghiêm trọng vào Mexico và Tây Ban Nha cũng như vượt xa hơn thế. Ông nói, đến cuối mùa thu năm ngoái, nó đã đến được tổng cộng 41 quốc gia.
Tuy nhiên, sản phẩm phụ của sự thành công đó là tăng cường giám sát từ cơ quan thực thi pháp luật. Trong một bước hướng tới việc phá vỡ mạng ngầm đang phát triển tự do của loại phần mềm độc hại này, cảnh sát Brazil đã thực hiện một động thái hiếm có: Họ thực hiện 13 lệnh bắt giữ tạm thời và XNUMX lệnh khám xét và thu giữ đối với các kiến trúc sư đằng sau Grandoreiro trên khắp XNUMX bang của Brazil.
“Vấn đề ở Brazil là họ không có cơ quan thực thi pháp luật địa phương tốt để trừng phạt những kẻ tấn công này. Sẽ hoạt động tốt hơn khi bạn có một thực thể bên ngoài đất nước gây áp lực, như đã xảy ra với Granadoreiro, khi cảnh sát và ngân hàng ở Tây Ban Nha gây áp lực buộc cảnh sát liên bang Brazil phải bắt những kẻ này,” Assolini nói.
Vì vậy, ông kết luận, “chúng đang trở nên tốt hơn, nhưng vẫn còn một chặng đường dài phía trước, bởi vì rất nhiều tội phạm mạng vẫn tự do [ở Brazil] và thực hiện nhiều cuộc tấn công trên toàn thế giới”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
- : có
- :là
- 13
- 20
- 20 năm
- 2000
- 24
- 41
- 7
- a
- ở nước ngoài
- ngang qua
- tiên tiến
- Tất cả
- Ngoài ra
- American
- an
- phân tích
- và
- Một
- bất kì
- ứng dụng
- các ứng dụng
- Nộp đơn
- thích hợp
- ứng dụng
- kiến trúc sư
- LÀ
- bắt giữ
- AS
- At
- Tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- Châu Úc
- Xác thực
- nhận thức
- xa
- Backdoors
- Ngân hàng
- Ngân hàng
- ứng dụng ngân hàng
- phần mềm độc hại ngân hàng
- Ngân hàng
- BE
- bởi vì
- trở nên
- được
- bắt đầu
- sau
- Hơn
- Ngoài
- lớn
- Blog
- cơ quan
- cả hai
- Brazil
- Brazil
- Người Brazil
- rộng
- nhưng
- by
- gọi là
- CAN
- nắm bắt
- trường hợp
- Catch
- trong sáng
- cam kết
- Các công ty
- tương thích
- các thành phần
- kết luận
- Người tiêu dùng
- Tổng công ty
- có thể
- nước
- đất nước
- Sáng tạo
- Credentials
- không gian mạng
- tội phạm mạng
- An ninh mạng
- nhiều
- Hậu vệ
- chứng minh
- máy tính để bàn
- chi tiết
- Phát hiện
- phát triển
- phát triển
- khác nhau
- chỉ thị
- phát hiện
- màn hình
- phân biệt
- do
- don
- xuống
- hàng chục
- được mệnh danh là
- hăng hái
- dễ dàng
- hiệu quả
- sự xuất hiện
- nhấn mạnh
- cuối
- thực thi
- thực thể
- Châu Âu
- Ngay cả
- sự tiến hóa
- thi hành
- Thực thi
- Mở rộng
- mở rộng
- mở rộng
- kinh nghiệm
- Giải thích
- giả mạo
- Rơi
- gia đình
- xa
- Tính năng
- Liên bang
- cảnh sát liên bang
- cuối cùng
- tài chính
- Tìm kiếm
- Tên
- năm
- Tập trung
- theo
- Trong
- tìm thấy
- Miễn phí
- Đóng băng
- từ
- đầy đủ
- chức năng
- chức năng
- tương lai
- nhận được
- Toàn cầu
- Go
- tốt
- có
- tuyệt vời
- thói quen
- có
- đã xảy ra
- Có
- he
- cái đầu
- lịch sử
- trung thực
- Độ đáng tin của
- Tuy nhiên
- HTTPS
- Hub
- săn
- Săn bắn
- xác định
- if
- in
- Bao gồm
- nhiễm
- nhiễm trùng
- thông tin
- ban đầu
- Cài đặt
- trong
- IT
- Italy
- ITS
- chính nó
- jpg
- Kaspersky
- Giết chết
- Loại
- Ngôn ngữ
- Họ
- Tiếng Latin
- người châu Mỹ La-tinh
- Luật
- thực thi pháp luật
- hợp pháp
- Lượt thích
- Dòng
- loader
- địa phương
- đăng nhập
- đăng nhập
- dài
- Rất nhiều
- rất nhiều
- Thấp
- máy
- thực hiện
- Đa số
- Làm
- độc hại
- phần mềm độc hại
- thị trường
- mặt nạ
- Có thể..
- hội viên
- đề cập
- phương pháp
- Mexico
- hiện đại
- chi tiết
- hầu hết
- di chuyển
- msi
- nhiều
- phải
- my
- quốc gia
- Mới
- Các tính năng mới
- thích hợp
- Nổi bật
- lưu ý
- tiểu thuyết
- tại
- of
- Xưa
- on
- ONE
- Trực tuyến
- ngân hàng trực tuyến
- mở
- mã nguồn mở
- Hoạt động
- gọi món
- tổ chức
- Nền tảng khác
- ra
- ngay
- bên ngoài
- kết thúc
- qua
- Trả
- người
- hoàn hảo
- Lừa đảo
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- Công an
- Bài đăng
- tiềm năng
- Thủ tướng
- chuẩn bị
- áp lực
- Vấn đề
- Quy trình
- chương trình
- Lập trình
- Khóa Học
- bảo vệ
- khá
- phạm vi
- HIẾM HOI
- Tỷ lệ
- RE
- đạt
- lý do
- lý do
- gần đây
- gần đây
- đỏ
- tương đối
- đại diện cho
- nghiên cứu
- ngay
- chạy
- s
- nói
- Màn
- ảnh chụp màn hình
- giám sát
- Tìm kiếm
- an ninh
- xem
- Thu giữ
- nghiêm trọng
- máy chủ
- đóng cửa
- Đóng cửa
- tương tự
- Chậm
- So
- Phần mềm
- một số
- tinh vi
- nguồn
- Tây Ban Nha
- ĐÁNH VẦN
- Được tài trợ
- Traineeship
- đứng
- bắt đầu
- Bang
- Bước
- Vẫn còn
- thành công
- Bộ đồ
- giải quyết
- Hãy
- nhắm mục tiêu
- nhóm
- đội
- Công nghệ
- tạm thời
- hơn
- việc này
- Sản phẩm
- Dòng
- thế giới
- cung cấp their dịch
- Them
- Đó
- Kia là
- họ
- điều này
- tuần này
- Tuy nhiên?
- mối đe dọa
- phát đạt
- đến
- bây giờ
- công cụ
- Tổng số:
- đối với
- được kích hoạt
- Trojan
- rắc rối
- ngầm
- độc đáo
- Cập nhật
- Cập nhật
- cập nhật
- người sử dang
- sử dụng
- sử dụng
- tận dụng
- Ve
- phiên bản
- rất
- nạn nhân
- Cảnh báo
- Chứng quyền
- là
- Đường..
- we
- tuần
- TỐT
- là
- khi nào
- cái nào
- tại sao
- cửa sổ
- với
- đang làm việc
- công trinh
- thế giới
- khắp thế giới
- viết
- năm
- năm
- Bạn
- zephyrnet