I løbet af den seneste måned, cybersikkerhedseksperter hos FortiGuard Labs har identificeret en række ondsindede Windows-genveje (LNK) filer, der indeholder PowerShell-kommandoer. Disse filer tjener som den indledende fase af et sofistikeret cyberangreb, der sigter mod at levere Coyote Banking Trojan, en malware-stamme der primært er rettet mod brugere i Brasilien. Designet til at stjæle følsomme finansielle oplysninger, Coyote er en stor fare for netbanksikkerheden, og en indikation af, at denne type trusler fortsætter med at udvikle sig.
Hvordan virker Coyote Banking Trojan?
Coyote opererer gennem en flertrins infektionsproces. Oprindeligt, en intetanende bruger udfører en LNK-fil, som kører en PowerShell-kommando, der forbinder til en ekstern server. Denne kommando henter et andet PowerShell-script, som igen downloader og udfører en loader, der er ansvarlig for at implementere den vigtigste malware-nyttelast.
Den injicerede ondsindede kode bruger Donut, et velkendt værktøj til at dekryptere og udføre Microsoft Intermediate Language (MSIL) nyttelast. En gang dekrypteret, MSIL-filen ændrer Windows-registreringsdatabasen for at sikre persistens. Det betyder, at selvom systemet genstartes, malwaren forbliver aktiv. Trojaneren downloader også en Base64-kodet URL, at udføre sine kernefunktioner yderligere.
Når Coyote er implementeret med succes, den samler kritiske systemoplysninger og scanner for installeret antivirussoftware. De indsamlede data kodes og overføres til en ekstern server, der styres af angriberne. Coyote er designet til at undgå registrering ved at kontrollere, om den kører i et virtuelt eller sandboxed miljø, gør det mere udfordrende for cybersikkerhedsforskere at analysere dens adfærd.
Blandt dens mange ondsindede funktioner, Coyote kan:
- Log tastetryk for at fange følsomme brugerlegitimationsoplysninger.
- Tag skærmbilleder af offerets skærm.
- Vis phishing-overlejringer på legitime bankwebsteder for at stjæle loginoplysninger.
- Manipuler systemets skærmindstillinger for at vildlede brugere.
Coyote Banking Trojan Target List
Nylige fund indikerer, at Coyotes liste over målrettede enheder er vokset betydeligt. I første omgang fokuseret på 70 finansielle ansøgninger, malwaren nu er rettet mod løbet 1,000 hjemmesider og 73 finansielle institutioner. Nogle af disse omfatter velkendte brasilianske finansielle platforme såsom mercadobitcoin.com.br, bitcointrade.com.br, og foxbit.com.br. Ud over finansielle institutioner, Coyote er også blevet fundet målrettet mod gæstfrihedsrelaterede websteder som augustoshotel.com.br, blumenhotelboutique.com.br, og fallshotel.com.br.
Når et offer forsøger at få adgang til nogen af disse målrettede websteder, malwaren kommunikerer med en angriberstyret server for at bestemme dens næste handlingsforløb. Afhængig af de modtagne instruktioner, Coyote kan tage skærmbilleder, aktivere en keylogger, eller vise vildledende overlejringer designet til at narre brugere til at give følsomme oplysninger.
Coyotes infektionsproces er både kompleks og effektiv, gør det til en alvorlig trussel mod netbanksikkerheden i Brasilien. Dens evne til at udvide ud over dens oprindelige målliste antyder, at malwaren kan fortsætte med at udvikle sig til at målrette mod yderligere finansielle institutioner og regioner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: