Kaspersky a descoperit un troian bancar care a țintit peste 60 de instituții

Un nou troian bancar sofisticat care fură informații financiare sensibile și introduce tactici avansate pentru a evita detectarea a fost descoperit de echipa globală de cercetare și analiză (GReAT) a Kaspersky. Numit „Coyote”, acest malware se bazează pe programul de instalare Squirrel pentru distribuție, numele său inspirându-se din coioți, prădătorii naturali ai veverițelor.

Experții Kaspersky au identificat „Coyote”, un nou troian bancar sofisticat care folosește tactici avansate de evaziune pentru a fura informații financiare sensibile. Vizând în primul rând utilizatorii afiliați la peste 60 de instituții bancare din Brazilia, Coyote utilizează programul de instalare Squirrel pentru distribuția sa – o metodă rareori întâlnită în livrarea de malware. Cercetătorii Kaspersky au investigat și identificat întregul proces de infectare desfășurat de Coyote.

În loc să urmeze calea obișnuită infectând programe de instalare cunoscute, Coyote a ales Squirrel, un instrument relativ nou, pentru a instala și actualiza aplicațiile desktop Windows. În acest fel, Coyote își ascunde loader-ul din etapă inițială pretinzând că este doar un pachet de actualizare.

Coyote utilizează Nim, un limbaj de programare modern, multiplatformă, ca loader-ul din etapa finală a procesului de infecție, fapt care îl face și mai complicat de detectat. Acest lucru se aliniază unei tendințe observate de Kaspersky, în care infractorii cibernetici folosesc limbaje mai puțin populare și multiplatforme, demonstrându-și adaptabilitatea la cele mai recente tendințe în tehnologie.

Modalitatea de infectare a lui Coyote implică o aplicație NodeJS care execută cod JavaScript complicat, un loader Nim care generează un executabil .NET și, în final, execuția unui troian. În timp ce Coyote nu ascunde propriu zis codul, folosește string obfuscation cu criptare AES (Advanced Encryption Standard) pentru un plus de eficiență în camuflare. Scopul troianului este în concordanță cu comportamentul tipic al troianului bancar: urmărește accesarea aplicației sau site-ului bancar specific.

Odată ce aplicațiile bancare sunt active, Coyote comunică imediat cu serverul său de comandă și control folosind canale SSL cu autentificare reciprocă. Folosirea de către troian a comunicării criptate și capacitatea sa de a efectua acțiuni specifice, cum ar fi înregistrarea tastelor și realizarea de capturi de ecran, evidențiază natura sa avansată. Poate chiar să solicite anumite parole ale cardurilor bancare și să configureze o pagină falsă pentru a obține acreditările de utilizator.

Datele de telemetrie Kaspersky arată că aproximativ 90% dintre infecțiile cu Coyote provin din Brazilia, având un impact mare asupra securității cibernetice financiare a regiunii.