Nel corso dell'ultimo mese, Gli esperti di sicurezza informatica di FortiGuard Labs hanno identificato una serie di scorciatoie dannose di Windows (LNK) file contenenti comandi PowerShell. Questi file servono come fase iniziale di un sofisticato attacco informatico mirato a diffondere il trojan bancario Coyote, un ceppo di malware che si rivolge principalmente agli utenti in Brasile. Progettato per rubare informazioni finanziarie sensibili, Coyote è un grande pericolo per la sicurezza dell'online banking, e un'indicazione che questo tipo di minaccia continua ad evolversi.
Come funziona il trojan bancario Coyote?
Il coyote opera attraverso un processo di infezione in più fasi. Inizialmente, un utente ignaro esegue un file LNK, che esegue un comando PowerShell che si connette a un server remoto. Questo comando recupera un altro script di PowerShell, che a sua volta scarica ed esegue un loader responsabile della distribuzione del payload del malware principale.
Il codice dannoso iniettato utilizza Donut, uno strumento ben noto per decifrare ed eseguire Microsoft Intermediate Language (MSIL) payload. Una volta decifrato, il file MSIL modifica il registro di Windows per garantire la persistenza. Ciò significa che anche se il sistema viene riavviato, il malware rimane attivo. Il Trojan scarica anche un URL codificato in Base64, eseguendo ulteriormente le sue funzioni principali.
Una volta che Coyote è stato schierato con successo, raccoglie informazioni critiche sul sistema ed esegue la scansione per il software antivirus installato. I dati raccolti vengono codificati e trasmessi a un server remoto controllato dagli aggressori. Coyote è progettato per evitare il rilevamento verificando se è in esecuzione in un ambiente virtuale o sandbox, rendendo più difficile per i ricercatori di sicurezza informatica analizzarne il comportamento.
Tra le sue numerose capacità dannose, Il coyote può:
- Registra le sequenze di tasti per acquisire le credenziali utente sensibili.
- Fai degli screenshot dello schermo della vittima.
- Visualizza sovrapposizioni di phishing su siti Web bancari legittimi per rubare le informazioni di accesso.
- Manipolare le impostazioni di visualizzazione del sistema per trarre in inganno gli utenti.
Elenco dei bersagli del trojan bancario Coyote
Risultati recenti indicano che l'elenco delle entità prese di mira da Coyote è cresciuto in modo significativo. Inizialmente focalizzato su 70 applicazioni finanziarie, il malware ora prende di mira sopra 1,000 siti web e 73 istituzioni finanziarie. Alcune di queste includono note piattaforme finanziarie brasiliane come mercadobitcoin.com.br, bitcointrade.com.br, e foxbit.com.br. Oltre alle istituzioni finanziarie, Coyote è stato anche scoperto prendere di mira siti web correlati all'ospitalità come augustoshotel.com.br, blumenhotelboutique.com.br, e fallshotel.com.br.
Quando una vittima tenta di accedere a uno di questi siti mirati, il malware comunica con un server controllato dall'aggressore per determinare il suo prossimo corso di azione. A seconda delle istruzioni ricevute, Coyote può catturare screenshot, attivare un keylogger, o visualizzare sovrapposizioni ingannevoli progettate per indurre gli utenti a fornire informazioni sensibili.
Il processo di infezione del coyote è sia complesso che efficace, rendendolo una seria minaccia alla sicurezza dell'online banking in Brasile. La sua capacità di espandersi oltre l'elenco iniziale degli obiettivi suggerisce che il malware potrebbe continuare a evolversi per colpire ulteriori istituzioni finanziarie e regioni..
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: