Coyote Banking-Trojaner
Forscher haben kürzlich einen einzigartigen Banking-Trojaner namens „Coyote“ entdeckt, der darauf ausgelegt ist, Zugangsdaten für 61 Online-Banking-Anwendungen zu sammeln. Was die Coyote-Bedrohung auszeichnet, ist ihre umfassende Ausrichtung auf Apps aus dem Bankensektor, wobei sich die Mehrheit auf Brasilien konzentriert. Dieser Trojaner zeichnet sich durch eine komplexe Kombination aus grundlegenden und erweiterten Komponenten aus. Insbesondere verwendet es ein relativ neues Open-Source-Installationsprogramm namens Squirrel, basiert auf NodeJs, nutzt die weniger verbreitete Programmiersprache „Nim“ und verfügt über über ein Dutzend schädliche Funktionen. Diese Entdeckung stellt einen bemerkenswerten Fortschritt auf dem florierenden brasilianischen Markt für Finanz-Malware dar und stellt möglicherweise erhebliche Herausforderungen für Sicherheitsteams dar, sollte der Fokus weiter ausgeweitet werden.
Inhaltsverzeichnis
Brasilianische Cyberkriminelle haben sich auf Bedrohungen durch Banking-Trojaner konzentriert
Brasilianische Malware-Entwickler entwickeln seit über zwei Jahrzehnten aktiv Banking-Trojaner, die mindestens bis zum Jahr 2000 zurückreichen. In 24 Jahren kontinuierlicher Entwicklung, in denen sie sich geschickt mit den sich entwickelnden Authentifizierungsmethoden und Schutztechnologien zurechtgefunden und diese überwunden haben, ist ihre Kreativität offensichtlich, wie am Beispiel von das Auftauchen des neuesten Trojaners.
Während Experten Coyote derzeit als eine Bedrohung bezeichnen, die sich hauptsächlich auf brasilianische Verbraucher konzentriert, haben Unternehmen zwingende Gründe, seine potenziellen Fähigkeiten genau zu überwachen. Vergangene Trends deuten darauf hin, dass Malware-Familien, die auf dem brasilianischen Markt erfolgreich sind, ihre Reichweite häufig auch international ausweiten. Daher müssen Unternehmen und Banken wachsam und bereit sein, gegen Coyote vorzugehen, falls sich seine Auswirkungen verstärken.
Ein weiterer wichtiger Aspekt für Sicherheitsteams liegt in der historischen Entwicklung von Banking-Trojanern, die sich zu vollwertigen Erstzugriffs-Trojanern und Hintertüren entwickelt haben. Bemerkenswerte Beispiele sind die Transformationen von Emotet und Trickbot sowie in jüngerer Zeit QakBot und Ursinif. Dieses Muster unterstreicht, wie wichtig es ist, auf das Aufkommen neuer Bank-Trojaner zu achten, da diese sich möglicherweise zu komplexeren Bedrohungen entwickeln könnten.
Der Banking-Trojaner Coyote ist mit einem Taucher voller schädlicher Fähigkeiten ausgestattet
Coyote verfügt über einen erweiterten Funktionsumfang und ermöglicht die Ausführung verschiedener Befehle wie das Aufnehmen von Screenshots, das Protokollieren von Tastenanschlägen, das Beenden von Prozessen, das Herunterfahren der Maschine und das Manipulieren des Cursors. Insbesondere kann es auch zum Einfrieren des Computers kommen, indem ein irreführender Bildschirm mit der Aufschrift „Arbeite an Updates…“ eingeblendet wird.
Im allgemeinen Verhalten folgt Coyote dem typischen Muster eines modernen Banking-Trojaners. Bei der Aktivierung einer kompatiblen App auf einem infizierten System kommuniziert die Malware mit einem vom Angreifer kontrollierten Command-and-Control-Server (C2). Anschließend wird auf dem Bildschirm des Opfers ein überzeugendes Phishing-Overlay angezeigt, um Anmeldeinformationen zu erfassen. Allerdings zeichnet sich Coyote durch seine geschickten Ausweichtaktiken gegenüber potenziellen Entdeckungen aus.
Im Gegensatz zu vielen Banking-Trojanern, die Windows Installer (MSI) verwenden, die von Cybersicherheitsexperten leicht erkannt werden können, entscheidet sich Coyote für Squirrel. Squirrel ist ein legitimes Open-Source-Tool, das für die Installation und Aktualisierung von Windows-Desktop-Apps entwickelt wurde. Durch die Nutzung von Squirrel versucht Coyote, seinen bösartigen Initial-Stage-Loader zu tarnen und ihn als scheinbar harmlosen Update-Packager darzustellen.
Der Endstufenlader fügt eine weitere Ebene der Einzigartigkeit hinzu, da er in der relativ ungewöhnlichen Programmiersprache „Nim“ codiert ist. Dies ist einer der ersten Fälle, in denen ein Banktrojaner mithilfe von Nim beobachtet wurde.
Traditionell wurden Banking-Trojaner überwiegend in Delphi geschrieben, einer älteren Sprache, die in verschiedenen Malware-Familien weit verbreitet ist. Da sich die Erkennungsmethoden für Delphi-Malware im Laufe der Jahre verbessert haben, nahm die Effizienz der Infektionen allmählich ab. Mit der Einführung von Nim setzen die Entwickler von Coyote auf eine modernere Programmiersprache, integrieren neue Funktionen und erreichen eine geringere Erkennungsrate durch Sicherheitssoftware.
Banking-Trojaner haben sich ausgebreitet und sind zu einem globalen Unternehmen geworden
In den letzten Jahren hat sich Brasilien zu einem globalen Epizentrum für Bank-Malware entwickelt. Obwohl diese bedrohlichen Programme ihren Ursprung in Brasilien haben, haben sie bewiesen, dass sie in der Lage sind, Ozeane und Kontinente zu durchqueren. Die erfahrenen Betreiber dieser Bedrohungen verfügen über umfassende Erfahrung in der Entwicklung von Banktrojanern und zeigen großes Interesse daran, ihre Angriffe auf globale Ebene auszuweiten. Infolgedessen haben Forscher Fälle brasilianischer Banktrojaner beobachtet, die es auf so weitreichende Unternehmen und Einzelpersonen wie Australien und Europa abgesehen haben.
Ein bemerkenswertes Beispiel ist Grandoreiro , ein Trojaner mit ähnlichen Eigenschaften, der nicht nur Mexiko und Spanien erfolgreich infiltrierte, sondern seine Reichweite auch weit über diese Grenzen hinaus ausdehnte. Auf ihrem Höhepunkt war diese Bedrohung in insgesamt 41 Ländern präsent.
Der Erfolg dieser Operationen wurde jedoch von den Strafverfolgungsbehörden genauer unter die Lupe genommen. In einem bemerkenswerten Schritt, der darauf abzielte, das Cyber-Underground-Ökosystem zu stören, das solche Malware ermöglicht, erließ die brasilianische Polizei fünf vorläufige Haftbefehle und 13 Durchsuchungs- und Beschlagnahmungsbefehle gegen die für Grandoreiro verantwortlichen Personen in fünf Bundesstaaten Brasiliens.
