Im letzten Monat, Cybersicherheitsexperten von FortiGuard Labs haben eine Reihe bösartiger Windows-Verknüpfungen identifiziert (LNK) Dateien mit PowerShell-Befehlen. Diese Dateien dienen als erste Stufe eines ausgeklügelten Cyberangriffs, der auf die Bereitstellung des Coyote Banking Trojaners abzielt., ein Malware-Stamm das sich in erster Linie an Benutzer in Brasilien richtet. Entwickelt, um vertrauliche Finanzinformationen zu stehlen, Coyote stellt eine große Gefahr für die Sicherheit des Online-Bankings dar, und ein Hinweis darauf, dass sich diese Art von Bedrohung weiterentwickelt.
Wie funktioniert der Banking-Trojaner Coyote?
Coyote durchläuft einen mehrstufigen Infektionsprozess. Ursprünglich, Ein ahnungsloser Benutzer führt eine LNK-Datei aus, das einen PowerShell-Befehl ausführt, der eine Verbindung zu einem Remote-Server herstellt. Dieser Befehl ruft ein weiteres PowerShell-Skript ab, Dieser wiederum lädt einen Loader herunter und führt ihn aus, der für die Bereitstellung der Hauptnutzlast der Malware verantwortlich ist..
Der eingeschleuste Schadcode nutzt Donut, ein bekanntes Tool zum Entschlüsseln und Ausführen von Microsoft Intermediate Language (MSIL) Nutzlasten. Einmal entschlüsselt, Die MSIL-Datei ändert die Windows-Registrierung, um Persistenz sicherzustellen. Das bedeutet, dass selbst bei einem Neustart des Systems, Die Malware bleibt aktiv. Der Trojaner lädt außerdem eine Base64-kodierte URL herunter, weitere Ausführung seiner Kernfunktionen.
Sobald Coyote erfolgreich bereitgestellt wurde, Es sammelt wichtige Systeminformationen und sucht nach installierter Antivirensoftware. Die gesammelten Daten werden verschlüsselt und an einen von den Angreifern kontrollierten Remote-Server übertragen. Coyote ist so konzipiert, dass es nicht erkannt wird, indem es überprüft, ob es in einer virtuellen oder Sandbox-Umgebung ausgeführt wird., Dadurch wird es für Cybersicherheitsforscher schwieriger, sein Verhalten zu analysieren.
Zu seinen vielen bösartigen Fähigkeiten, Kojote kann:
- Protokollieren Sie Tastatureingaben, um vertrauliche Benutzeranmeldeinformationen zu erfassen.
- Machen Sie Screenshots vom Bildschirm des Opfers.
- Zeigen Sie Phishing-Overlays auf legitimen Bank-Websites an, um Anmeldeinformationen zu stehlen.
- Die Anzeigeeinstellungen des Systems manipulieren, um Benutzer in die Irre zu führen.
Zielliste des Coyote Banking-Trojaners
Aktuelle Erkenntnisse zeigen, dass Coyotes Liste der Zielunternehmen erheblich gewachsen ist. Zunächst konzentrierte man sich auf 70 Finanzanwendungen, Die Malware zielt jetzt über 1,000 Websites und 73 Finanzinstitutionen. Dazu gehören bekannte brasilianische Finanzplattformen wie mercadobitcoin.com.br, bitcointrade.com.br, und foxbit.com.br. Neben Finanzinstituten, Coyote hat es auch auf Websites im Gastgewerbe abgesehen, beispielsweise augustoshotel.com.br, blumenhotelboutique.com.br, und fallshotel.com.br.
Wenn ein Opfer versucht, auf eine dieser Zielseiten zuzugreifen, Die Malware kommuniziert mit einem vom Angreifer kontrollierten Server, um ihr weiteres Vorgehen zu bestimmen.. Abhängig von den erhaltenen Anweisungen, Coyote kann Screenshots machen, aktivieren Sie eine Keylogger, oder täuschende Overlays anzuzeigen, die Benutzer dazu verleiten sollen, vertrauliche Informationen preiszugeben.
Der Infektionsprozess bei Kojoten ist komplex und effektiv, Damit stellt es eine ernsthafte Bedrohung für die Online-Banking-Sicherheit in Brasilien dar. Die Fähigkeit der Malware, sich über die ursprüngliche Zielliste hinaus auszudehnen, lässt darauf schließen, dass sie sich weiterentwickeln und so zusätzliche Finanzinstitute und Regionen ins Visier nehmen könnte..
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: