過去1か月間, FortiGuard Labsのサイバーセキュリティ専門家は、一連の悪質なWindowsショートカットを特定しました。 (LNK) PowerShell コマンドを含むファイル. これらのファイルは、コヨーテバンキングトロイの木馬を配信することを目的とした高度なサイバー攻撃の初期段階として機能します。, a マルウェア株 主にブラジルのユーザーをターゲットにしている. 機密の金融情報を盗むために設計された, コヨーテはオンラインバンキングのセキュリティにとって大きな脅威である, そして、この種の脅威は進化し続けているという兆候.
コヨーテバンキングトロイの木馬はどのように機能するのか?
コヨーテは多段階の感染プロセスを経て動作する. 最初は, 何も知らないユーザーがLNKファイルを実行する, リモートサーバーに接続するPowerShellコマンドを実行します. このコマンドは別のPowerShellスクリプトを取得します, 次に、メインのマルウェアペイロードを展開するローダーをダウンロードして実行します。.
注入された悪意のあるコードはドーナツを利用している, Microsoft中間言語を解読して実行するためのよく知られたツール (MSIL) ペイロード. 一度復号すると, MSILファイルは永続性を確保するためにWindowsレジストリを変更します. つまり、システムを再起動しても, マルウェアは依然として活動中である. トロイの木馬はBase64でエンコードされたURLもダウンロードする, 中核機能をさらに実行する.
コヨーテが正常に展開されると, 重要なシステム情報を収集し、インストールされているウイルス対策ソフトウェアをスキャンします。. 収集されたデータは暗号化され、攻撃者が管理するリモートサーバーに送信される。. Coyoteは、仮想環境またはサンドボックス環境で実行されているかどうかをチェックすることで検出を回避するように設計されています。, サイバーセキュリティ研究者にとってその行動を分析することがより困難になる.
その多くの悪意ある機能の中には, コヨーテは:
- キーストロークを記録して機密性の高いユーザー認証情報を取得する.
- 被害者の画面のスクリーンショットを撮る.
- 正規の銀行ウェブサイトにフィッシングオーバーレイを表示してログイン情報を盗む.
- システムの表示設定を操作してユーザーを誤解させる.
コヨーテバンキングトロイの木馬のターゲットリスト
最近の調査結果 コヨーテの標的リストが大幅に拡大したことを示している. 当初は 70 金融アプリケーション, マルウェアが今標的にしているのは 以上 1,000 ウェブサイトと 73 金融機関. これらの中には、mercadobitcoin.com.brなどの有名なブラジルの金融プラットフォームも含まれています。, ビットコイントレード, およびfoxbit.com.br. 金融機関に加えて, コヨーテは、augustoshotel.com.brのようなホスピタリティ関連のウェブサイトも標的にしていることがわかった。, blumenhotelboutique.com.br, および fallshotel.com.br.
被害者がこれらの標的サイトにアクセスしようとすると, マルウェアは攻撃者が管理するサーバーと通信して次の行動方針を決定します。. 受け取った指示に応じて, コヨーテはスクリーンショットを撮るかもしれない, アクティブ化する キーロガー, または、ユーザーを騙して機密情報を提供させることを目的とした偽のオーバーレイを表示する.
コヨーテの感染プロセスは複雑かつ効果的である, ブラジルのオンラインバンキングのセキュリティにとって深刻な脅威となっている。. 当初のターゲットリストを超えて拡大する能力は、マルウェアが進化を続け、さらに多くの金融機関や地域をターゲットにする可能性を示唆している。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: