Un nou troian bancar sofisticat care fură informații financiare sensibile și introduce tactici avansate pentru a evita detectarea a fost descoperit de echipa globală de cercetare și analiză (GReAT) a Kaspersky. Numit „Coyote”, acest malware se bazează pe programul de instalare Squirrel pentru distribuție, numele său inspirându-se din coioți, prădătorii naturali ai veverițelor.
Experții Kaspersky au identificat „Coyote”, un nou troian bancar sofisticat care folosește tactici avansate de evaziune pentru a fura informații financiare sensibile. Vizând în primul rând utilizatorii afiliați la peste 60 de instituții bancare din Brazilia, Coyote utilizează programul de instalare Squirrel pentru distribuția sa – o metodă rareori întâlnită în livrarea de malware. Cercetătorii Kaspersky au investigat și identificat întregul proces de infectare desfășurat de Coyote.
În loc să urmeze calea obișnuită infectând programe de instalare cunoscute, Coyote a ales Squirrel, un instrument relativ nou, pentru a instala și actualiza aplicațiile desktop Windows. În acest fel, Coyote își ascunde loader-ul din etapă inițială pretinzând că este doar un pachet de actualizare.
Coyote utilizează Nim, un limbaj de programare modern, multiplatformă, ca loader-ul din etapa finală a procesului de infecție, fapt care îl face și mai complicat de detectat. Acest lucru se aliniază unei tendințe observate de Kaspersky, în care infractorii cibernetici folosesc limbaje mai puțin populare și multiplatforme, demonstrându-și adaptabilitatea la cele mai recente tendințe în tehnologie.
Modalitatea de infectare a lui Coyote implică o aplicație NodeJS care execută cod JavaScript complicat, un loader Nim care generează un executabil .NET și, în final, execuția unui troian. În timp ce Coyote nu ascunde propriu zis codul, folosește string obfuscation cu criptare AES (Advanced Encryption Standard) pentru un plus de eficiență în camuflare. Scopul troianului este în concordanță cu comportamentul tipic al troianului bancar: urmărește accesarea aplicației sau site-ului bancar specific.
Odată ce aplicațiile bancare sunt active, Coyote comunică imediat cu serverul său de comandă și control folosind canale SSL cu autentificare reciprocă. Folosirea de către troian a comunicării criptate și capacitatea sa de a efectua acțiuni specifice, cum ar fi înregistrarea tastelor și realizarea de capturi de ecran, evidențiază natura sa avansată. Poate chiar să solicite anumite parole ale cardurilor bancare și să configureze o pagină falsă pentru a obține acreditările de utilizator.
Datele de telemetrie Kaspersky arată că aproximativ 90% dintre infecțiile cu Coyote provin din Brazilia, având un impact mare asupra securității cibernetice financiare a regiunii.
Citiți raportul complet despre troianul bancar Coyote pe Securelist.com.
Pentru protecție împotriva amenințărilor financiare, Kaspersky recomandă:
• Instalați numai aplicații obținute din surse de încredere.
• Evitați aprobarea drepturilor sau a permisiunilor solicitate de aplicații fără a vă asigura mai întâi că se potrivesc cu setul de caracteristici al aplicației.
• Nu deschideți niciodată link-uri sau documente incluse în mesaje neașteptate sau cu aspect suspect.
• Utilizați o soluție de securitate fiabilă, cum ar fi Kaspersky Premium, care vă protejează pe dumneavoastră și infrastructura digitală de o gamă largă de amenințări cibernetice financiare.
Pentru a vă proteja businessul de programele malware financiare, experții în securitate Kaspersky recomandă:
• Oferirea de traininguri de conștientizare a securității cibernetice, în special pentru angajații responsabili de contabilitate, care includ instrucțiuni despre cum să detectăm paginile de phishing.
• Îmbunătățirea alfabetizării digitale a personalului.
• Activarea unei politici de respingere implicită pentru profilurile critice de utilizatori, în special cele din departamentele financiare, care asigură accesarea numai a resurselor web legitime.
• Instalarea celor mai recente actualizări și patch-uri pentru toate software-urile utilizate.