Šezdeset i jedna bankarska institucija, od kojih sve poieču iz Brazila, meta je novog bankarskog trojanca pod nazivom Coyote.
“Ovaj malver koristi instalacioni program Squirrel za distribuciju, koristeći Node.js i relativno novi višeplatformski programski jezik pod nazivom Nim kao učitavač da dovrši svoju infekciju”, rekla je ruska kompanija za sajber sigurnost Kaspersky u izvještaju od četvrtka.
Ono po čemu se Coyote razlikuje od ostalih bankarskih trojanaca ove vrste je upotreba open-source okvira Squirrel za instaliranje i ažuriranje Windows aplikacija. Još jedan značajan odmak je pomak sa Delphija – koji je preovladavajući među porodicama bankarskih malvera koji ciljaju na Latinsku Ameriku – na neuobičajene programske jezike kao što je Nim.
U lancu napada koji je dokumentovao Kaspersky, izvršni program za instalaciju Squirrel se koristi kao lansirna ploča za Node.js aplikaciju kompajliranu sa Electronom, koja, zauzvrat, pokreće učitavač zasnovan na Nim-u kako bi pokrenuo izvršavanje zlonamjernog Coyote korisnog opterećenja pomoću DLL bočngo učitavanja.
Maliciozna biblioteka dinamičke veze, nazvana “libcef.dll”, učitava se sa strane pomoću legitimnog izvršnog fajla pod nazivom “obs-browser-page.exe”, koji je takođe uključen u Node.js projekat. Vrijedi napomenuti da je originalni libcef.dll dio Chromium Embedded Framework-a (CEF).
Coyote, nakon izvršenja, “prati sve otvorene aplikacije na sistemu žrtve i čeka da se pristupi određenoj bankarskoj aplikaciji ili web stranici”, nakon čega kontaktira server koji kontroliše haker kako bi dohvatio direktive sljedeće faze.
Ima mogućnost izvršavanja širokog spektra naredbi za pravljenje snimaka ekrana, zapisivanja pritisaka na tipke, prekidanja procesa, prikazivanja lažnih preklapanja, pomicanja kursora miša na određenu lokaciju, pa čak i isključivanja stroja. Takođe može direktno blokirati mašinu lažnom porukom “Rad na ažuriranjima…” dok izvršava zlonamjerne radnje u pozadini.
„Dodavanje Nima kao učitavača dodaje složenost dizajnu trojanca“, rekao je Kaspersky. “Ova evolucija naglašava rastuću sofisticiranost unutar okruženja prijetnji i pokazuje kako se hakeri prilagođavaju i koriste najnovije jezike i alate u svojim zlonamjernim kampanjama.”
Razvoj događaja dolazi nakon što su brazilske službe za provođenje zakona demontirale operaciju Grandoreiro i izdale pet privremenih naloga za hapšenje i 13 naloga za pretres i zapljenu organizatora malvera u pet brazilskih država.
Takođe prati otkriće novog alata za krađu informacija baziranog na Python-u koji je povezan sa vijetnamskim arhitektima povezanim sa MrTonyScam-om i distribuisan putem miniranih Microsoft Excel i Word dokumenata.
Kradljivac “prikuplja kolačiće pretraživača i podatke za prijavu […] iz širokog spektra pretraživača, od poznatih pretraživača kao što su Chrome i Edge do pretraživača fokusiranih na lokalno tržište, kao što je Cốc Cốc pretraživač”, navodi Fortinet FortiGuard Labs u izvještaju objavljenom ove sedmice.
Izvor: The Hacker News