Банковский троян Coyote атакует десятки приложений
Исследователи выявили нового банковского трояна под названием «Coyote», предназначенного для атаки на учетные данные 61 приложения онлайн-банкинга. Анализ показывает, что Coyote, в первую очередь затрагивающий банковский сектор Бразилии, отличается широкой направленностью и сложной интеграцией различных базовых и продвинутых компонентов.
Примечательно, что он использует новый установщик с открытым исходным кодом под названием Squirrel, а также NodeJs, язык программирования Nim и более дюжины вредоносных функций. Этот троянец знаменует собой значительную эволюцию в сфере финансовых вредоносных программ в Бразилии, создавая потенциальные проблемы для служб безопасности, если он расширит сферу своей деятельности.
Койот может эволюционировать подобно Эмотету
Хотя в настоящее время Coyote сосредоточен на Бразилии, существуют опасения, что Coyote может расширить свое влияние. Предыдущие случаи с другими семействами вредоносных программ, такими как Emotet и Trickbot, подчеркивают тенденцию банковских троянов превращаться в комплексные трояны начального доступа и бэкдоры.
Coyote демонстрирует типичное поведение банковского трояна, подключаясь к контролируемому злоумышленником серверу управления при запуске на зараженном устройстве. Затем он отображает фишинговое наложение на экране жертвы для захвата данных для входа в систему при активации совместимого приложения.
Что отличает Coyote, так это его усилия избежать обнаружения, используя инструмент с открытым исходным кодом Squirrel для маскировки своего загрузчика начальной стадии и используя относительно необычный язык программирования «Nim» для своего загрузчика последней стадии.
Этот уникальный подход создает проблемы для защитников кибербезопасности, поскольку Coyote отличается от обычного использования установщиков Windows другими банковскими троянами. Службам безопасности настоятельно рекомендуется сохранять бдительность, учитывая историческую тенденцию расширения подобных угроз за пределы первоначальных целей.