Il trojan bancario Coyote prende di mira dozzine di app
I ricercatori hanno identificato un nuovo trojan bancario denominato "Coyote" progettato per prendere di mira le credenziali di 61 applicazioni bancarie online. L'analisi rivela che Coyote, che colpisce principalmente il settore bancario in Brasile, si distingue per il suo targeting ad ampio raggio e per l'intricata integrazione di vari componenti di base e avanzati.
In particolare, impiega un nuovo programma di installazione open source chiamato Squirrel, insieme a NodeJs, il linguaggio di programmazione "Nim" e oltre una dozzina di funzionalità dannose. Questo Trojan segna un'evoluzione significativa nel panorama del malware finanziario brasiliano, ponendo potenziali sfide ai team di sicurezza se amplia la sua portata.
Coyote potrebbe evolversi in modo simile a Emotet
Sebbene attualmente sia concentrato sul Brasile, si teme che Coyote possa ampliare il suo impatto. Precedenti casi di altre famiglie di malware, come Emotet e Trickbot, evidenziano la tendenza dei trojan bancari ad evolversi in trojan ad accesso iniziale completo e backdoor.
Coyote mostra il tipico comportamento dei trojan bancari connettendosi a un server di comando e controllo controllato dall'aggressore quando viene attivato su un dispositivo infetto. Quindi visualizza un overlay di phishing sullo schermo della vittima per acquisire le informazioni di accesso quando viene attivata un'app compatibile.
Ciò che distingue Coyote è il suo sforzo per evitare il rilevamento, utilizzando lo strumento open source Squirrel per mascherare il caricatore della fase iniziale e impiegando il linguaggio di programmazione relativamente raro "Nim" per il caricatore della fase finale.
Questo approccio unico pone sfide ai difensori della sicurezza informatica, poiché Coyote si differenzia dall’uso comune di Windows Installer da parte di altri trojan bancari. I team di sicurezza sono invitati a rimanere vigili, considerando la tendenza storica di tali minacce ad espandersi oltre i loro obiettivi iniziali.
