Tamamı Brezilya menşeli olan 61 bankacılık kurumu, yeni bir bankacılık truva atının hedefi oldu. Çakal.
Rus siber güvenlik firması Kaspersky, “Bu kötü amaçlı yazılım, dağıtım için Squirrel yükleyicisini kullanıyor ve bulaşmayı tamamlamak için yükleyici olarak Node.js’den ve Nim adı verilen nispeten yeni bir çoklu platform programlama dilinden yararlanıyor.” söz konusu Perşembe günü yayınlanan bir raporda.
Coyote’u kendi türündeki diğer bankacılık truva atlarından farklı kılan şey, açık kaynak kodlu yazılımın kullanılmasıdır. Sincap çerçevesi Windows uygulamalarını yüklemek ve güncellemek için. Bir diğer dikkate değer değişiklik, Latin Amerika’yı hedef alan bankacılık kötü amaçlı yazılım aileleri arasında yaygın olan Delphi’den Nim gibi alışılmadık bir programlama diline geçiş oldu.
Kaspersky tarafından belgelenen saldırı zincirinde, çalıştırılabilir bir Squirrel yükleyicisi, Electron ile derlenen bir Node.js uygulaması için başlatma paneli olarak kullanılıyor ve bu da, kötü niyetli Coyote yükünün yürütülmesini tetiklemek için Nim tabanlı bir yükleyici çalıştırıyor. DLL yandan yükleme.
“libcef.dll” adlı kötü amaçlı dinamik bağlantı kitaplığı, yine Node.js projesine dahil olan “obs-browser-page.exe” adlı yasal bir yürütülebilir dosya aracılığıyla yandan yüklenir. Orijinal libcef.dll dosyasının Chromium Embedded Framework’ün (CEF) bir parçası olduğunu belirtmekte fayda var.
Coyote, çalıştırıldıktan sonra “kurbanın sistemindeki tüm açık uygulamaları izliyor ve belirli bankacılık uygulamasına veya web sitesine erişilmesini bekliyor” ve ardından bir sonraki aşama direktiflerini almak için aktör kontrollü bir sunucuyla iletişime geçiyor.
Ekran görüntüsü almak, tuş vuruşlarını kaydetmek, işlemleri sonlandırmak, sahte katmanları görüntülemek, fare imlecini belirli bir konuma taşımak ve hatta makineyi kapatmak için çok çeşitli komutları yürütme yeteneğine sahiptir. Ayrıca, arka planda kötü amaçlı eylemler yürütürken sahte bir “Güncellemeler üzerinde çalışılıyor…” mesajıyla makineyi doğrudan engelleyebilir.
Kaspersky, “Nim’in yükleyici olarak eklenmesi, truva atının tasarımına karmaşıklık katıyor” dedi. “Bu evrim, tehdit ortamındaki giderek artan karmaşıklığı vurguluyor ve tehdit aktörlerinin kötü niyetli kampanyalarında en yeni dilleri ve araçları nasıl adapte ettiğini ve kullandığını gösteriyor.”
Bu gelişme, Brezilya kolluk kuvvetlerinin Grandoreiro operasyonunu sona erdirmesi ve Brezilya’nın beş eyaletinde kötü amaçlı yazılımın arkasındaki beyinler için beş geçici tutuklama emri ve 13 arama ve el koyma emri çıkarmasıyla ortaya çıktı.
Bu aynı zamanda, MrTonyScam ile bağlantılı Vietnamlı mimarlarla ilgili olan ve bubi tuzaklı Microsoft Excel ve Word belgeleri aracılığıyla dağıtılan Python tabanlı yeni bir bilgi hırsızının keşfinin de ardından geliyor.
Hırsız “tarayıcıların çerezlerini ve oturum açma verilerini topluyor” […] Chrome ve Edge gibi tanıdık tarayıcılardan, Cốc Cốc tarayıcısı gibi yerel pazara odaklanan tarayıcılara kadar çok çeşitli tarayıcılardan” Fortinet FortiGuard Labs söz konusu bu hafta yayınlanan bir raporda.
