חוקרים גילו טרויאני בנקאי חדש שהם כינו "זאב ערבות", אשר מחפש אישורים עבור 61 יישומי בנקאות מקוונים שונים.
"זאב ערבות", פירט קספרסקי בניתוח כיום, בולט הן במיקוד הרחב שלה לאפליקציות במגזר הבנקאות (הרוב, לעת עתה, בברזיל), והן בשזירה המתוחכמת של רכיבים בסיסיים ומתקדמים שונים: מתקין קוד פתוח חדש יחסית בשם Squirrel; NodeJs; שפת תכנות לא מושרת בשם "נים"; ויותר מתריסר פונקציות זדוניות. בסך הכל, זה מייצג התפתחות בולטת בשוק המשגשג של ברזיל עבור תוכנות זדוניות פיננסיות - ועלול להוות צרות גדולות בהמשך הקו עבור צוותי אבטחה אם היא תרחיב את המיקוד שלה.
"הם מפתחים סוסים טרויאניים בנקאיים כבר יותר מ-20 שנה - הם התחילו בשנת 2000", אומר פאביו אסוליני, ראש צוות המחקר והניתוח העולמי של אמריקה הלטינית (GReAT) בקספרסקי, על מפתחי תוכנות זדוניות ברזילאיות. "ב-24 שנים של פיתוח ועקיפה של שיטות אימות חדשות וטכנולוגיות הגנה חדשות, הם היו מאוד יצירתיים, ואתה יכול לראות את זה עכשיו עם הטרויאני החדש הזה מאוד."
זה אולי איום ממוקד ברזיל לצרכנים לעת עתה, אבל כאמור, יש סיבות ברורות לארגונים להיות מודעים ל-Coyote. ראשית, כפי שמזהיר אסוליני, "משפחות התוכנות הזדוניות שהצליחו להתמודד עם שוק ברזיל בעבר התרחבו גם לחו"ל. לכן תאגידים ובנקים צריכים להיות מוכנים להתמודד עם זה”.
וסיבה נוספת עבור צוותי אבטחה לשים לב להופעתם של סוסים טרויאניים בנקאיים חדשים היא ההיסטוריה שלהם מתפתחים לסוסי טרויאנים בעלי גישה ראשונית מלאה ודלתות אחוריות; זה היה המקרה עם Emotet ו טריקוט, לדוגמהולאחרונה, QakBot ו אורסיניף.
ל-Coyote יש פונקציונליות בכנפיים כדי לעקוב אחריו: הוא יכול לבצע מגוון פקודות, כולל הנחיות לצלם צילומי מסך, רישום הקשות, להרוג תהליכים, לכבות את המכונה ולהזיז את הסמן שלה. זה גם יכול להקפיא לחלוטין את המכונה עם שכבת-על מזויפת "עובד על עדכונים ...".
הטרויאני זאב ערבות פועל עם סנאי ונים
עד כה בהתקפותיה, Coyote מתנהגת כמו כל טרויאני בנקאי מודרני אחר: כאשר אפליקציה תואמת מופעלת במחשב נגוע, התוכנה הזדונית מצלצלת לשרת פקודה ושליטה (C2) הנשלטת על ידי תוקף מציגה שכבת דיוג מתאימה על גבי הקורבן. מסך כדי ללכוד את פרטי הכניסה של המשתמש. עם זאת, זאב ערבות בולט בעיקר באיך שהוא נלחם באיתור פוטנציאלי.
רוב הטרויאנים הבנקאיים משתמשים ב-Windows Installers (MSI), ציין קספרסקי בפוסט בבלוג שלו, מה שהופך אותם לדגל אדום קל עבור מגיני אבטחת סייבר. זו הסיבה ש-Coyote בוחר סנאי, כלי קוד פתוח לגיטימי להתקנה ועדכון של אפליקציות שולחן העבודה של Windows. באמצעות Squirrel, Coyote מנסה להסוות את מטעין השלב הראשוני הזדוני שלה כמארז עדכונים כנה לחלוטין.
> מטעין השלב הסופי שלו הוא אפילו יותר ייחודי, שכן הוא כתוב בשפת תכנות נישה יחסית בשם "נים". זהו הטרויאני הבנקאי הראשון שקספרסקי זיהה באמצעות נים.
"רוב הטרויאנים הבנקאיים הישנים נכתבו בדלפי, שהיא די ישנה ומנוצלת בהרבה משפחות. אז עם השנים, הזיהוי של תוכנות זדוניות של דלפי נעשה טוב מאוד, ויעילות ההדבקות האטה עם השנים", מסביר אסוליני. עם נים, "יש להם שפה מודרנית יותר לתכנת עם תכונות חדשות ושיעור נמוך של זיהוי על ידי תוכנת אבטחה."
סוסים טרויאנים של בנקאות ברזילאית הם בעיה גלובלית
אם Coyote צריך לעשות כל כך הרבה כדי לייחד את עצמו, זה בגלל שהמדינה החמישית בגודלה בעולם הפכה בשנים האחרונות למרכז המוביל בעולם לתוכנות זדוניות בנקאיות.
ועד כמה שהם מטילים אימה על הברזילאים, לתוכניות האלה יש גם הרגל חציית גופי מים.
"החבר'ה האלה מנוסים מאוד בפיתוח סוסים טרויאניים בנקאיים, והם להוטים להרחיב את ההתקפות שלהם ברחבי העולם", מדגיש אסוליני. "כרגע, אנחנו יכולים למצוא טרויאנים של בנק ברזיל תוקפים חברות ואנשים רחוקים כמו אוסטרליה ואירופה. השבוע, חבר בצוות שלי מצא גרסה חדשה של אחת באיטליה".
כדי להדגים את העתיד הפוטנציאלי של כלי כמו Coyote, אסוליני מצביע על גראנדוריירו, טרויאני דומה שעשה פריצות רציניות למקסיקו וספרד אבל גם הרבה מעבר. עד סוף הסתיו האחרון, הוא אומר, זה הגיע בסך הכל ל-41 מדינות.
אולם תוצר לוואי של הצלחה זו היה הגברת הביקורת מצד רשויות החוק. בצעד לקראת שיבוש מחתרת הסייבר החופשית שלה עבור סוג זה של תוכנות זדוניות, משטרת ברזיל עשתה צעד נדיר: היא הוציאה לפועל חמישה צווי מעצר זמניים ו-13 צווי חיפוש ותפיסה, עבור האדריכלים מאחורי גראנדוריירו בחמש מדינות ברזיל.
"הבעיה בברזיל היא שאין להם אכיפת חוק מקומית טובה במיוחד להעניש את התוקפים האלה. זה עובד טוב יותר כשיש לך ישות מחוץ למדינה שמפעילה קצת לחץ, כפי שקרה עם גרנדוריירו, כשהמשטרה והבנקים בספרד לחצו על המשטרה הפדרלית הברזילאית לתפוס את החבר'ה האלה", אומר אסוליני.
אז, הוא מסכם, "הם משתפרים, אבל יש עוד דרך ארוכה לעבור, כי הרבה פושעי סייבר עדיין חופשיים [בברזיל] ומבצעים המון התקפות ברחבי העולם".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/coyote-malware-preying-61-banking-apps
