Οι ερευνητές ανακάλυψαν ένα νέο τραπεζικό Trojan που ονόμασαν «Coyote», το οποίο αναζητά διαπιστευτήρια για 61 διαφορετικές διαδικτυακές τραπεζικές εφαρμογές.

"Coyote», περιγράφει λεπτομερώς η Kaspersky σε μια ανάλυση σήμερα, είναι αξιοσημείωτη τόσο για την ευρεία στόχευση των εφαρμογών του τραπεζικού τομέα (η πλειοψηφία, προς το παρόν, στη Βραζιλία), όσο και για την περίπλοκη συνένωση διαφορετικών στοιχειωδών και προηγμένων στοιχείων: ένα σχετικά νέο πρόγραμμα εγκατάστασης ανοιχτού κώδικα που ονομάζεται Squirrel. NodeJs; μια άγνωστη γλώσσα προγραμματισμού που ονομάζεται "Nim"? και περισσότερες από δώδεκα κακόβουλες λειτουργίες. Συνολικά, αντιπροσωπεύει μια αξιοσημείωτη εξέλιξη στην ακμάζουσα αγορά της Βραζιλίας για χρηματοοικονομικό κακόβουλο λογισμικό - και θα μπορούσε να προκαλέσει μεγάλο πρόβλημα στις ομάδες ασφαλείας εάν επεκτείνει την εστίασή της.

«Αναπτύσσουν τραπεζικούς Trojans για περισσότερα από 20 χρόνια — ξεκίνησαν το 2000», λέει ο Fabio Assolini, επικεφαλής της Λατινικής Αμερικής Global Research and Analysis Team (GReAT) της Kaspersky, σχετικά με τους Βραζιλιάνους προγραμματιστές κακόβουλου λογισμικού. "Σε 24 χρόνια ανάπτυξης και παράκαμψης νέων μεθόδων ελέγχου ταυτότητας και νέων τεχνολογιών προστασίας, ήταν πολύ δημιουργικοί και μπορείτε να το δείτε τώρα με αυτόν τον πολύ νέο Trojan."

Μπορεί προς το παρόν να αποτελεί απειλή για τους καταναλωτές με επίκεντρο τη Βραζιλία, αλλά όπως αναφέρθηκε, υπάρχουν σαφείς λόγοι για τους οργανισμούς να γνωρίζουν το Coyote. Πρώτον, όπως προειδοποιεί ο Assolini, «οι οικογένειες κακόβουλου λογισμικού που είχαν επιτυχία στην αντιμετώπιση της αγοράς της Βραζιλίας στο παρελθόν έχουν επεκταθεί και στο εξωτερικό. Γι' αυτό οι εταιρείες και οι τράπεζες πρέπει να είναι προετοιμασμένες να το αντιμετωπίσουν».

Και ένας άλλος λόγος για τις ομάδες ασφαλείας να δώσουν προσοχή στην εμφάνιση νέων τραπεζικών Trojans είναι το ιστορικό τους εξελίσσονται σε ολοκληρωμένους Trojans αρχικής πρόσβασης και κερκόπορτες? αυτό συνέβη με την Emotet και Τρίμποτ, για παράδειγμακαι πιο πρόσφατα, QakBot και Ουρσινίφ.

Το Coyote έχει λειτουργικότητα στα φτερά για να ακολουθήσει το παράδειγμά του: Μπορεί να εκτελέσει μια σειρά από εντολές, συμπεριλαμβανομένων οδηγιών για λήψη στιγμιότυπων οθόνης, καταγραφή πληκτρολογήσεων, εξουδετέρωση διεργασιών, τερματισμό λειτουργίας του μηχανήματος και μετακίνηση του δρομέα. Μπορεί επίσης να παγώσει εντελώς το μηχάνημα με μια ψεύτικη επικάλυψη «Εργασία για ενημερώσεις…».

The Coyote Trojan Runs With Squirrel & Nim

Μέχρι στιγμής στις επιθέσεις της, η Coyote συμπεριφέρεται όπως κάθε άλλο σύγχρονο τραπεζικό Trojan: Όταν ενεργοποιείται μια συμβατή εφαρμογή σε ένα μολυσμένο μηχάνημα, το κακόβουλο λογισμικό κάνει ping σε έναν ελεγχόμενο από τον εισβολέα διακομιστή εντολής και ελέγχου (C2) εμφανίζει μια κατάλληλη επικάλυψη phishing στο θύμα οθόνη για να καταγράψετε τα στοιχεία σύνδεσης ενός χρήστη. Ωστόσο, το Coyote ξεχωρίζει περισσότερο για τον τρόπο με τον οποίο καταπολεμά πιθανές ανιχνεύσεις.

Τα περισσότερα τραπεζικά Trojans χρησιμοποιούν Windows Installers (MSI), σημείωσε η Kaspersky στην ανάρτησή της στο ιστολόγιο, καθιστώντας τα μια εύκολη κόκκινη σημαία για τους υπερασπιστές της κυβερνοασφάλειας. Γι' αυτό επιλέγει η Coyote Σκίουρος, ένα νόμιμο εργαλείο ανοιχτού κώδικα για εγκατάσταση και ενημέρωση εφαρμογών επιτραπέζιου υπολογιστή των Windows. Χρησιμοποιώντας το Squirrel, το Coyote επιχειρεί να κρύψει τον κακόβουλο αρχικό φορτωτή του ως έναν απόλυτα ειλικρινή πακέτου ενημέρωσης.

>Ο φορτωτής του τελικού σταδίου είναι ακόμα πιο μοναδικός, καθώς είναι γραμμένος σε μια σχετικά εξειδικευμένη γλώσσα προγραμματισμού που ονομάζεται "Nim". Αυτή είναι η πρώτη τραπεζική Trojan Kaspersky που εντόπισε χρησιμοποιώντας Nim.

«Οι περισσότεροι από τους παλιούς Τρώες των τραπεζών γράφτηκαν στους Δελφούς, οι οποίοι είναι αρκετά παλιοί και χρησιμοποιούνταν σε πολλές οικογένειες. Έτσι, με τα χρόνια, ο εντοπισμός του κακόβουλου λογισμικού των Delphi έγινε πολύ καλός και η αποτελεσματικότητα των μολύνσεων επιβραδύνθηκε με τα χρόνια», εξηγεί ο Assolini. Με τον Nim, «έχουν μια πιο σύγχρονη γλώσσα προγραμματισμού με νέες δυνατότητες και χαμηλό ποσοστό ανίχνευσης από λογισμικό ασφαλείας».

Οι Τρώες Τραπεζών της Βραζιλίας είναι παγκόσμιο πρόβλημα

Εάν το Coyote πρέπει να κάνει τόσα πολλά για να διακριθεί, είναι επειδή το πέμπτο μεγαλύτερο έθνος στον κόσμο έχει γίνει τα τελευταία χρόνια ο κορυφαίος κόμβος στον κόσμο για τραπεζικό κακόβουλο λογισμικό.

Και όσο τρομοκρατούν τους Βραζιλιάνους, αυτά τα προγράμματα έχουν επίσης μια συνήθεια διασχίζοντας υδάτινα σώματα.

«Αυτοί οι τύποι είναι πολύ έμπειροι στην ανάπτυξη τραπεζικών Trojans και είναι πρόθυμοι να επεκτείνουν τις επιθέσεις τους παγκοσμίως», τονίζει ο Assolini. «Αυτή τη στιγμή, μπορούμε να βρούμε Τρώες από βραζιλιάνικες τράπεζες να επιτίθενται σε εταιρείες και ανθρώπους τόσο μακριά όσο η Αυστραλία και η Ευρώπη. Αυτή την εβδομάδα, ένα μέλος της ομάδας μου βρήκε μια νέα έκδοση στην Ιταλία."

Για να δείξει το πιθανό μέλλον για ένα εργαλείο όπως το Coyote, ο Assolini επισημαίνει Grandoreiro, ένα παρόμοιο Trojan που έκανε σοβαρές εισβολές στο Μεξικό και την Ισπανία αλλά και πολύ πιο πέρα. Μέχρι το τέλος του περασμένου φθινοπώρου, λέει, είχε φτάσει συνολικά σε 41 χώρες.

Ένα υποπροϊόν αυτής της επιτυχίας, ωστόσο, ήταν αυξημένος έλεγχος από τις αρχές επιβολής του νόμου. Σε ένα βήμα προς τη διακοπή της ελεύθερης ροής του κυβερνοχώρου για αυτό το είδος κακόβουλου λογισμικού, η βραζιλιάνικη αστυνομία έκανε μια σπάνια κίνηση: Εκτέλεσε πέντε προσωρινά εντάλματα σύλληψης και 13 εντάλματα έρευνας και κατάσχεσης, για τους αρχιτέκτονες πίσω από το Grandoreiro σε πέντε πολιτείες της Βραζιλίας.

«Το πρόβλημα στη Βραζιλία είναι ότι δεν έχουν πολύ καλές τοπικές αρχές επιβολής του νόμου για την τιμωρία αυτών των επιτιθέμενων. Λειτουργεί καλύτερα όταν έχετε μια οντότητα εκτός της χώρας να ασκεί κάποια πίεση, όπως συνέβη με το Granadoreiro, όταν η αστυνομία και οι τράπεζες στην Ισπανία πίεζαν την ομοσπονδιακή αστυνομία της Βραζιλίας να πιάσει αυτούς τους τύπους», λέει ο Assolini.

Έτσι, καταλήγει, «γίνονται καλύτεροι, αλλά υπάρχει πολύς δρόμος μπροστά μας, επειδή πολλοί κυβερνοεγκληματίες είναι ακόμα ελεύθεροι [στη Βραζιλία] και διαπράττουν πολλές επιθέσεις σε όλο τον κόσμο».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps