Coyote Banking Trojan több tucat alkalmazást céloz meg

A kutatók egy új, "Coyote" nevű banki trójai programot azonosítottak, amely 61 online banki alkalmazás hitelesítő adatait célozza meg. Az elemzésből kiderül, hogy a Coyote, amely elsősorban a brazíliai bankszektort érinti, kitűnik széles körű célzásával, valamint a különféle alapvető és fejlett összetevők bonyolult integrációjával.

Nevezetesen, a Squirrel nevű új, nyílt forráskódú telepítőt alkalmazza, a NodeJ-kkel, a „Nim” programozási nyelvvel és több mint tucatnyi rosszindulatú funkcióval együtt. Ez a trójai jelentős fejlődést jelent Brazília pénzügyi rosszindulatú programjainak területén, és potenciális kihívásokat jelenthet a biztonsági csapatok számára, ha kiterjeszti hatókörét.

A Coyote az Emotethez hasonlóan fejlődhet

Bár jelenleg Brazíliára összpontosít, aggodalomra ad okot, hogy a Coyote kiterjesztheti a hatását. A más rosszindulatú programcsaládokkal, például az Emotettel és a Trickbottal végzett korábbi példányok rávilágítottak arra a tendenciára, hogy a banki trójaiak átfogó kezdeti hozzáférést biztosító trójaiakká és hátsó ajtókká fejlődnek.

A Coyote tipikus banki trójai viselkedést mutat azáltal, hogy egy támadó által vezérelt parancs- és vezérlőkiszolgálóhoz csatlakozik, amikor az aktiválódik egy fertőzött eszközön. Ezután egy adathalász fedvényt jelenít meg az áldozat képernyőjén, hogy rögzítse a bejelentkezési információkat, amikor egy kompatibilis alkalmazást aktiválnak.

A Coyote-ot az különbözteti meg egymástól, hogy igyekezett elkerülni az észlelést, a Squirrel nyílt forráskódú eszközt használja kezdeti betöltőjének álcázására, és a viszonylag szokatlan „Nim” programozási nyelvet alkalmazza a végső betöltőjéhez.

Ez az egyedülálló megközelítés kihívások elé állítja a kiberbiztonság védelmezőit, mivel a Coyote eltér a többi banki trójai által használt Windows Installertől. A biztonsági csapatokat arra kérik, hogy maradjanak éberek, tekintettel az ilyen fenyegetések történelmi tendenciájára, amelyek túlterjednek eredeti célpontjukon.