More

    Novi trojanac Coyote cilja 61 brazilsku banku

    Šezdeset i jedna bankarska institucija, od kojih sve poieču iz Brazila, meta je novog bankarskog trojanca pod nazivom Coyote.

    “Ovaj malver koristi instalacioni program Squirrel za distribuciju, koristeći Node.js i relativno novi višeplatformski programski jezik pod nazivom Nim kao učitavač da dovrši svoju infekciju”, rekla je ruska kompanija za sajber sigurnost Kaspersky u izvještaju od četvrtka.

    Ono po čemu se Coyote razlikuje od ostalih bankarskih trojanaca ove vrste je upotreba open-source okvira Squirrel za instaliranje i ažuriranje Windows aplikacija. Još jedan značajan odmak je pomak sa Delphija – koji je preovladavajući među porodicama bankarskih malvera koji ciljaju na Latinsku Ameriku – na neuobičajene programske jezike kao što je Nim.

    U lancu napada koji je dokumentovao Kaspersky, izvršni program za instalaciju Squirrel se koristi kao lansirna ploča za Node.js aplikaciju kompajliranu sa Electronom, koja, zauzvrat, pokreće učitavač zasnovan na Nim-u kako bi pokrenuo izvršavanje zlonamjernog Coyote korisnog opterećenja pomoću DLL bočngo učitavanja.

    Maliciozna biblioteka dinamičke veze, nazvana “libcef.dll”, učitava se sa strane pomoću legitimnog izvršnog fajla pod nazivom “obs-browser-page.exe”, koji je takođe uključen u Node.js projekat. Vrijedi napomenuti da je originalni libcef.dll dio Chromium Embedded Framework-a (CEF).

    Coyote, nakon izvršenja, “prati sve otvorene aplikacije na sistemu žrtve i čeka da se pristupi određenoj bankarskoj aplikaciji ili web stranici”, nakon čega kontaktira server koji kontroliše haker kako bi dohvatio direktive sljedeće faze.

    Novi trojanac Coyote cilja 61 brazilsku banku - Kiber.ba

    Ima mogućnost izvršavanja širokog spektra naredbi za pravljenje snimaka ekrana, zapisivanja pritisaka na tipke, prekidanja procesa, prikazivanja lažnih preklapanja, pomicanja kursora miša na određenu lokaciju, pa čak i isključivanja stroja. Takođe može direktno blokirati mašinu lažnom porukom “Rad na ažuriranjima…” dok izvršava zlonamjerne radnje u pozadini.

    „Dodavanje Nima kao učitavača dodaje složenost dizajnu trojanca“, rekao je Kaspersky. “Ova evolucija naglašava rastuću sofisticiranost unutar okruženja prijetnji i pokazuje kako se hakeri prilagođavaju i koriste najnovije jezike i alate u svojim zlonamjernim kampanjama.”

    Razvoj događaja dolazi nakon što su brazilske službe za provođenje zakona demontirale operaciju Grandoreiro i izdale pet privremenih naloga za hapšenje i 13 naloga za pretres i zapljenu organizatora malvera u pet brazilskih država.

    Takođe prati otkriće novog alata za krađu informacija baziranog na Python-u koji je povezan sa vijetnamskim arhitektima povezanim sa MrTonyScam-om i distribuisan putem miniranih Microsoft Excel i Word dokumenata.

    Kradljivac “prikuplja kolačiće pretraživača i podatke za prijavu […] iz širokog spektra pretraživača, od poznatih pretraživača kao što su Chrome i Edge do pretraživača fokusiranih na lokalno tržište, kao što je Cốc Cốc pretraživač”, navodi Fortinet FortiGuard Labs u izvještaju objavljenom ove sedmice.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories