Шестьдесят одно банковское учреждение, все из которых происходят из Бразилии, являются целью нового банковского трояна под названием Coyote.
"Это вредоносное ПО использует установщик Squirrel для распространения, используя Node.js и относительно новый мультиплатформенный язык программирования под названием Nim в качестве загрузчика для завершения заражения", - сообщила российская компания по кибербезопасности Kaspersky в отчете, опубликованном в четверг.
Что отличает Coyote от других банковских троянов такого рода, так это использование Squirrel Framework с открытым исходным кодом для установки и обновления приложений Windows. Еще одним заметным изменением является переход от Delphi, который распространен среди семейств банковских вредоносных программ, нацеленных на Латинскую Америку, к необычным языкам программирования, таким как Nim.
В цепочке атак, задокументированной Касперским, исполняемый файл установщика Squirrel используется в качестве стартовой панели для Node.js приложение, скомпилированное с помощью Electron, которое, в свою очередь, запускает загрузчик на основе Nim для запуска выполнения вредоносной полезной нагрузки Coyote посредством боковой загрузки DLL.
Вредоносная библиотека динамических ссылок с именем "libcef.dll" загружается на стороне с помощью законного исполняемого файла с именем "obs-browser-page.exe", который также включен в проект Node.js. Стоит отметить, что оригинал libcef.dll является частью встроенного фреймворка Chromium (CEF).
После запуска Coyote "отслеживает все открытые приложения в системе жертвы и ожидает доступа к определенному банковскому приложению или веб-сайту", впоследствии связываясь с сервером, контролируемым участником, для получения инструкций следующего этапа.
Он способен выполнять широкий спектр команд для создания снимков экрана, регистрации нажатий клавиш, завершения процессов, отображения поддельных наложений, перемещения курсора мыши в определенное место и даже выключения компьютера. Он также может напрямую блокировать компьютер поддельным сообщением "Работаем над обновлениями ..." при выполнении вредоносных действий в фоновом режиме.
"Добавление Nim в качестве загрузчика усложняет дизайн трояна", - сказал Касперский. "Эта эволюция подчеркивает растущую сложность ландшафта угроз и показывает, как субъекты угроз адаптируют и используют новейшие языки и инструменты в своих вредоносных кампаниях".
Развитие событий произошло после того, как правоохранительные органы Бразилии ликвидировали операцию Grandoreiro и выдали пять ордеров на временный арест и 13 ордеров на обыск и конфискацию для организаторов вредоносного ПО в пяти штатах Бразилии.
Это также следует за обнаружением нового похитителя информации на основе Python, который связан с вьетнамскими архитекторами, связанными с MrTonyScam, и распространяется через заминированные документы Microsoft Excel и Word.
Похититель "собирает файлы cookie браузеров и данные для входа в систему [...] из широкого спектра браузеров, от знакомых браузеров, таких как Chrome и Edge, до браузеров, ориентированных на местный рынок, таких как браузер CốC CốC", - говорится в отчете Fortinet FortiGuard Labs, опубликованном на этой неделе.
"Это вредоносное ПО использует установщик Squirrel для распространения, используя Node.js и относительно новый мультиплатформенный язык программирования под названием Nim в качестве загрузчика для завершения заражения", - сообщила российская компания по кибербезопасности Kaspersky в отчете, опубликованном в четверг.
Что отличает Coyote от других банковских троянов такого рода, так это использование Squirrel Framework с открытым исходным кодом для установки и обновления приложений Windows. Еще одним заметным изменением является переход от Delphi, который распространен среди семейств банковских вредоносных программ, нацеленных на Латинскую Америку, к необычным языкам программирования, таким как Nim.
В цепочке атак, задокументированной Касперским, исполняемый файл установщика Squirrel используется в качестве стартовой панели для Node.js приложение, скомпилированное с помощью Electron, которое, в свою очередь, запускает загрузчик на основе Nim для запуска выполнения вредоносной полезной нагрузки Coyote посредством боковой загрузки DLL.
Вредоносная библиотека динамических ссылок с именем "libcef.dll" загружается на стороне с помощью законного исполняемого файла с именем "obs-browser-page.exe", который также включен в проект Node.js. Стоит отметить, что оригинал libcef.dll является частью встроенного фреймворка Chromium (CEF).
После запуска Coyote "отслеживает все открытые приложения в системе жертвы и ожидает доступа к определенному банковскому приложению или веб-сайту", впоследствии связываясь с сервером, контролируемым участником, для получения инструкций следующего этапа.
Он способен выполнять широкий спектр команд для создания снимков экрана, регистрации нажатий клавиш, завершения процессов, отображения поддельных наложений, перемещения курсора мыши в определенное место и даже выключения компьютера. Он также может напрямую блокировать компьютер поддельным сообщением "Работаем над обновлениями ..." при выполнении вредоносных действий в фоновом режиме.
"Добавление Nim в качестве загрузчика усложняет дизайн трояна", - сказал Касперский. "Эта эволюция подчеркивает растущую сложность ландшафта угроз и показывает, как субъекты угроз адаптируют и используют новейшие языки и инструменты в своих вредоносных кампаниях".
Развитие событий произошло после того, как правоохранительные органы Бразилии ликвидировали операцию Grandoreiro и выдали пять ордеров на временный арест и 13 ордеров на обыск и конфискацию для организаторов вредоносного ПО в пяти штатах Бразилии.
Это также следует за обнаружением нового похитителя информации на основе Python, который связан с вьетнамскими архитекторами, связанными с MrTonyScam, и распространяется через заминированные документы Microsoft Excel и Word.
Похититель "собирает файлы cookie браузеров и данные для входа в систему [...] из широкого спектра браузеров, от знакомых браузеров, таких как Chrome и Edge, до браузеров, ориентированных на местный рынок, таких как браузер CốC CốC", - говорится в отчете Fortinet FortiGuard Labs, опубликованном на этой неделе.
