Soixante et une institutions bancaires, toutes originaires du Brésil, sont la cible d’un nouveau cheval de Troie bancaire appelé Coyote.
« Ce malware utilise le programme d’installation Squirrel pour la distribution, en exploitant Node.js et un langage de programmation multiplateforme relativement nouveau appelé Nim comme chargeur pour compléter son infection », a déclaré la société russe de cybersécurité Kaspersky. dit dans un rapport de jeudi.
Ce qui fait de Coyote une race différente des autres chevaux de Troie bancaires de ce type, c’est l’utilisation du logiciel open source Cadre écureuil pour installer et mettre à jour les applications Windows. Un autre changement notable est le passage de Delphi – qui est répandu parmi les familles de logiciels malveillants bancaires ciblant l’Amérique latine – vers des langages de programmation peu courants comme Nim.
Dans la chaîne d’attaque documentée par Kaspersky, un exécutable du programme d’installation Squirrel est utilisé comme rampe de lancement pour une application Node.js compilée avec Electron, qui, à son tour, exécute un chargeur basé sur Nim pour déclencher l’exécution de la charge utile malveillante Coyote au moyen de Chargement latéral des DLL.
La bibliothèque de liens dynamiques malveillante, nommée « libcef.dll », est chargée latéralement au moyen d’un exécutable légitime nommé « obs-browser-page.exe », qui est également inclus dans le projet Node.js. Il convient de noter que le libcef.dll d’origine fait partie du Chromium Embedded Framework (CEF).
Coyote, une fois exécuté, « surveille toutes les applications ouvertes sur le système de la victime et attend que l’application bancaire ou le site Web spécifique soit accédé », contactant ensuite un serveur contrôlé par un acteur pour récupérer les directives de l’étape suivante.
Il a la capacité d’exécuter un large éventail de commandes pour prendre des captures d’écran, enregistrer les frappes au clavier, terminer des processus, afficher de fausses superpositions, déplacer le curseur de la souris vers un emplacement spécifique et même arrêter la machine. Il peut également bloquer purement et simplement la machine avec un faux message « Travail sur les mises à jour… » lors de l’exécution d’actions malveillantes en arrière-plan.
« L’ajout de Nim comme chargeur ajoute de la complexité à la conception du cheval de Troie », a déclaré Kaspersky. « Cette évolution met en évidence la sophistication croissante du paysage des menaces et montre comment les acteurs de la menace s’adaptent et utilisent les langages et outils les plus récents dans leurs campagnes malveillantes. »
Cette évolution intervient alors que les autorités brésiliennes chargées de l’application des lois ont démantelé l’opération Grandoreiro et émis cinq mandats d’arrêt temporaires et 13 mandats de perquisition et de saisie contre les cerveaux derrière le logiciel malveillant dans cinq États brésiliens.
Cela fait également suite à la découverte d’un nouveau voleur d’informations basé sur Python, lié aux architectes vietnamiens associés à MrTonyScam et distribué via des documents Microsoft Excel et Word piégés.
Le voleur « collecte les cookies et les données de connexion des navigateurs […] d’une large gamme de navigateurs, des navigateurs familiers tels que Chrome et Edge aux navigateurs axés sur le marché local, comme le navigateur Cốc Cốc », Fortinet FortiGuard Labs dit dans un rapport publié cette semaine.