Araştırmacılar, 61 farklı çevrimiçi bankacılık uygulamasının kimlik bilgilerini arayan, “Coyote” adını verdikleri yeni bir bankacılık Truva Atı keşfettiler.
“Coyote”, Kaspersky tarafından bir analizde detaylandırıldı bugün, hem bankacılık sektörü uygulamalarını geniş bir şekilde hedeflemesi (şimdilik çoğunluğu Brezilya’da) hem de farklı ilkel ve gelişmiş bileşenleri karmaşık bir şekilde bir araya getirmesiyle dikkate değer: Squirrel adında nispeten yeni bir açık kaynak yükleyici; NodeJ’ler; “Nim” adında söylenmemiş bir programlama dili; ve bir düzineden fazla kötü amaçlı işlevsellik. Sonuç olarak bu, Brezilya’nın gelişen finansal kötü amaçlı yazılım pazarında kayda değer bir evrimi temsil ediyor ve eğer odak noktasını genişletirse güvenlik ekipleri için ileride büyük sorunlara yol açabilir.
Kaspersky Latin Amerika Küresel Araştırma ve Analiz Ekibi (GReAT) başkanı Fabio Assolini, Brezilyalı kötü amaçlı yazılım geliştiricileri hakkında şunları söylüyor: “20 yılı aşkın bir süredir bankacılık Truva atları geliştiriyorlar; 2000 yılında başladılar.” “24 yıldır yeni kimlik doğrulama yöntemleri ve yeni koruma teknolojileri geliştirip atlayarak çok yaratıcı davrandılar ve bunu şimdi bu çok yeni Truva Atı’nda görebilirsiniz.”
Şimdilik tüketicilere yönelik Brezilya odaklı bir tehdit olabilir ancak belirtildiği gibi kuruluşların Coyote’tan haberdar olmasının açık nedenleri var. Öncelikle, Assolini’nin uyardığı gibi, “Geçmişte Brezilya pazarıyla mücadelede başarılı olan kötü amaçlı yazılım aileleri yurt dışına da yayıldı. Bu nedenle şirketlerin ve bankaların bununla başa çıkmaya hazırlıklı olması gerekiyor.”
Güvenlik ekiplerinin yeni bankacılık Truva atlarının ortaya çıkışına dikkat etmesinin bir başka nedeni de bunların geçmişidir. tam teşekküllü ilk erişim Truva atlarına dönüşüyor ve arka kapılar; Emotet’te durum böyleydi ve Hile robotu, örneğinve daha yakın zamanda, QakBot Ve Ursinif.
Coyote’un kanatlarda buna uygun işlevsellik vardır: Ekran görüntüleri almak, tuş vuruşlarını kaydetmek, işlemleri sonlandırmak, makineyi kapatmak ve imlecini hareket ettirmek için yönergeler de dahil olmak üzere bir dizi komutu çalıştırabilir. Ayrıca sahte bir “Güncellemeler üzerinde çalışılıyor…” kaplamasıyla makineyi tamamen dondurabilir.
Coyote Truva Atı Sincap ve Nim ile Çalışıyor
Şu ana kadar saldırılarında Coyote diğer modern bankacılık Truva atları gibi davranıyor: Etkilenen bir makinede uyumlu bir uygulama tetiklendiğinde, kötü amaçlı yazılım, saldırganın kontrol ettiği komuta ve kontrol (C2) sunucusuna ping atıyor ve kurbanın bilgisayarında uygun bir kimlik avı katmanı görüntülüyor. Bir kullanıcının oturum açma bilgilerini yakalamak için ekran. Coyote en çok potansiyel tespitlerle nasıl mücadele ettiğiyle öne çıkıyor.
Kaspersky, blog gönderisinde bankacılık Truva atlarının çoğunun Windows Yükleyicilerini (MSI) kullandığını ve bu durumun onları siber güvenlik savunucuları için kolay bir tehlike işareti haline getirdiğini belirtti. Coyote bu yüzden tercih ediyor Squirrel, meşru bir açık kaynak aracı Windows masaüstü uygulamalarını yüklemek ve güncellemek için. Coyote, Squirrel’ı kullanarak kötü niyetli başlangıç aşaması yükleyicisini tamamen dürüst bir güncelleme paketleyicisi olarak maskelemeye çalışıyor.
>Nim adı verilen nispeten niş bir programlama dilinde yazıldığı için son aşama yükleyicisi daha da benzersizdir. Bu, Kaspersky’nin Nim kullanarak tespit ettiği ilk bankacılık Truva atıdır.
“Eski bankacılık Truva atlarının çoğu, oldukça eski olan ve birçok ailede kullanılan Delphi’de yazılmıştı. Dolayısıyla yıllar geçtikçe, Delphi kötü amaçlı yazılımlarının tespiti çok iyi hale geldi ve enfeksiyonların verimliliği yıllar geçtikçe yavaşladı. ” Assolini açıklıyor. Nim ile “yeni özelliklerle ve güvenlik yazılımı tarafından düşük tespit oranıyla programlamak için daha modern bir dile sahipler.”
Brezilya Bankacılık Truva Atları Küresel Bir Sorun
Coyote’un kendisini farklı kılmak için bu kadar çok şey yapması gerekiyorsa bunun nedeni, dünyanın beşinci büyük ülkesinin son yıllarda bankacılık kötü amaçlı yazılımları konusunda dünyanın önde gelen merkezi haline gelmesidir.
Ve her ne kadar Brezilyalıları terörize etse de bu programların aynı zamanda bir alışkanlığı da var: su kütlelerini geçmek.
Assolini, “Bu adamlar bankacılık Truva atları geliştirme konusunda oldukça deneyimliler ve saldırılarını dünya çapında yaygınlaştırma konusunda istekliler” diye vurguluyor. “Şu anda Brezilya banka Truva atlarının Avustralya ve Avrupa kadar uzaktaki şirketlere ve insanlara saldırdığını görebiliyoruz. Bu hafta ekibimin bir üyesi İtalya’da Truva atlarının yeni bir versiyonunu buldu.”
Assolini, Coyote gibi bir aracın potansiyel geleceğini göstermek için şunu belirtiyor: Grandoreiro, benzer bir Truva Atı Bu, Meksika ve İspanya’ya ve aynı zamanda çok daha ötesine ciddi ilerlemeler sağladı. Geçen sonbaharın sonunda toplam 41 ülkeye ulaştığını söylüyor.
Ancak bu başarının bir yan ürünü kolluk kuvvetleri tarafından artan inceleme. Brezilya polisi, bu tür kötü amaçlı yazılımlar için serbest dolaşımdaki siber yeraltını engellemeye yönelik bir adım olarak nadir bir hamle yaptı: Brezilya’nın beş eyaletinde Grandoreiro’nun arkasındaki mimarlar için beş geçici tutuklama emri ve 13 arama ve el koyma emri çıkardı.
“Brezilya’daki sorun, bu saldırganları cezalandıracak çok iyi yerel kolluk kuvvetlerinin olmaması. Granadoreiro’da olduğu gibi, İspanya’da polis ve bankalar kapatıldığında, ülke dışında baskı uygulayan bir kuruluş olduğunda bu daha iyi çalışır. Assolini, Brezilya federal polisine bu adamları yakalaması için baskı yaptığını söyledi.
Dolayısıyla şu sonuca varıyor: “Daha iyiye gidiyorlar ama daha kat edecek çok yol var çünkü birçok siber suçlu hâlâ serbest [in Brazil] ve dünya çapında birçok saldırı gerçekleştiriyoruz.”
