Üretken Veri Zekası

Siber güvenlik

'Coyote' Kötü Amaçlı Yazılımı Avına Başlıyor ve 61 Bankacılık Uygulamasını Ele Geçiriyor

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 0

Araştırmacılar, 61 farklı çevrimiçi bankacılık uygulamasının kimlik bilgilerini arayan, "Coyote" adını verdikleri yeni bir bankacılık Truva Atı keşfettiler.

"Coyote", Kaspersky tarafından bir analizde ayrıntılarıyla anlatıldı bugün, hem bankacılık sektörü uygulamalarını geniş bir şekilde hedeflemesi (şimdilik çoğunluğu Brezilya'da) hem de farklı ilkel ve gelişmiş bileşenleri karmaşık bir şekilde bir araya getirmesiyle dikkate değer: Squirrel adında nispeten yeni bir açık kaynak yükleyici; NodeJ'ler; “Nim” adında söylenmemiş bir programlama dili; ve bir düzineden fazla kötü amaçlı işlevsellik. Sonuç olarak bu, Brezilya'nın gelişen finansal kötü amaçlı yazılım pazarında kayda değer bir evrimi temsil ediyor ve eğer odak noktasını genişletirse güvenlik ekipleri için ileride büyük sorunlara yol açabilir.

Kaspersky'nin Latin Amerika Küresel Araştırma ve Analiz Ekibi (GReAT) başkanı Fabio Assolini, Brezilyalı kötü amaçlı yazılım geliştiricileri hakkında şunları söylüyor: "20 yılı aşkın bir süredir bankacılık Truva atları geliştiriyorlar; 2000 yılında başladılar." "24 yıldır yeni kimlik doğrulama yöntemleri ve yeni koruma teknolojileri geliştirip atlayarak çok yaratıcı davrandılar ve bunu şimdi bu çok yeni Truva Atı'nda görebilirsiniz."

Şimdilik tüketicilere yönelik Brezilya odaklı bir tehdit olabilir ancak belirtildiği gibi kuruluşların Coyote'tan haberdar olmasının açık nedenleri var. Birincisi, Assolini'nin uyardığı gibi, “Geçmişte Brezilya pazarını ele almada başarılı olan kötü amaçlı yazılım aileleri yurt dışına da yayıldı. Bu nedenle şirketlerin ve bankaların bununla baş etmeye hazırlıklı olması gerekiyor.”

Güvenlik ekiplerinin yeni bankacılık Truva atlarının ortaya çıkışına dikkat etmesinin bir başka nedeni de bunların geçmişidir. tam teşekküllü ilk erişim Truva atlarına dönüşüyor ve arka kapılar; Emotet'te durum böyleydi ve Trickbot, Örneğinve daha yakın zamanda, QakBot ve Ursinif.

Coyote'un kanatlarda buna uygun işlevsellik vardır: Ekran görüntüleri almak, tuş vuruşlarını kaydetmek, işlemleri sonlandırmak, makineyi kapatmak ve imlecini hareket ettirmek için yönergeler de dahil olmak üzere bir dizi komutu çalıştırabilir. Ayrıca sahte bir "Güncellemeler üzerinde çalışılıyor..." katmanıyla makineyi tamamen dondurabilir.

Coyote Truva Atı Sincap ve Nim ile Çalışıyor

Şu ana kadar saldırılarında Coyote diğer modern bankacılık Truva atları gibi davranıyor: Etkilenen bir makinede uyumlu bir uygulama tetiklendiğinde, kötü amaçlı yazılım, saldırganın kontrol ettiği komuta ve kontrol (C2) sunucusuna ping atıyor ve kurbanın bilgisayarında uygun bir kimlik avı katmanı görüntülüyor. Bir kullanıcının oturum açma bilgilerini yakalamak için ekran. Coyote en çok potansiyel tespitlerle nasıl mücadele ettiğiyle öne çıkıyor.

Kaspersky, blog gönderisinde bankacılık Truva atlarının çoğunun Windows Yükleyicilerini (MSI) kullandığını ve bu durumun onları siber güvenlik savunucuları için kolay bir tehlike işareti haline getirdiğini belirtti. Coyote bu yüzden tercih ediyor Squirrel, meşru bir açık kaynak aracı Windows masaüstü uygulamalarını yüklemek ve güncellemek için. Coyote, Squirrel'ı kullanarak kötü niyetli başlangıç ​​aşaması yükleyicisini tamamen dürüst bir güncelleme paketleyicisi olarak maskelemeye çalışıyor.

>Son aşama yükleyicisi, “Nim” adı verilen nispeten niş bir programlama dilinde yazıldığı için daha da benzersizdir. Bu, Kaspersky'nin Nim kullanarak tespit ettiği ilk bankacılık Truva atıdır.

“Eski bankacılık Truva atlarının çoğu, oldukça eski olan ve birçok ailede kullanılan Delphi'de yazılmıştı. Böylece yıllar geçtikçe Delphi kötü amaçlı yazılımlarının tespiti çok iyi hale geldi ve enfeksiyonların verimliliği de yıllar içinde yavaşladı," diye açıklıyor Assolini. Nim ile "yeni özelliklerle ve güvenlik yazılımı tarafından düşük tespit oranıyla programlamak için daha modern bir dile sahipler."

Brezilya Bankacılık Truva Atları Küresel Bir Sorun

Coyote'un kendisini farklı kılmak için bu kadar çok şey yapması gerekiyorsa bunun nedeni, dünyanın beşinci büyük ülkesinin son yıllarda bankacılık kötü amaçlı yazılımları konusunda dünyanın önde gelen merkezi haline gelmesidir.

Ve her ne kadar Brezilyalıları terörize etse de bu programların aynı zamanda bir alışkanlığı da var: su kütlelerini geçmek.

Assolini, "Bu adamlar bankacılık Truva Atları geliştirme konusunda oldukça deneyimliler ve saldırılarını dünya çapında yaygınlaştırma konusunda istekliler" diye vurguluyor. “Şu anda Brezilya banka Truva atlarının Avustralya ve Avrupa kadar uzaktaki şirketlere ve insanlara saldırdığını görebiliyoruz. Bu hafta ekibimin bir üyesi İtalya'da bunun yeni bir versiyonunu buldu."

Assolini, Coyote gibi bir aracın potansiyel geleceğini göstermek için şunu belirtiyor: Grandoreiro, benzer bir Truva Atı Bu, Meksika ve İspanya'ya ve aynı zamanda çok daha ötesine ciddi ilerlemeler sağladı. Geçen sonbaharın sonunda toplam 41 ülkeye ulaştığını söylüyor.

Ancak bu başarının bir yan ürünü kolluk kuvvetleri tarafından artan inceleme. Brezilya polisi, bu tür kötü amaçlı yazılımlar için serbestçe dolaşan siber yeraltını engellemeye yönelik bir adım olarak nadir bir hamle yaptı: Brezilya'nın beş eyaletinde Grandoreiro'nun arkasındaki mimarlar için beş geçici tutuklama emri ve 13 arama ve el koyma emri çıkardı.

“Brezilya'daki sorun, bu saldırganları cezalandıracak çok iyi yerel kolluk kuvvetlerinin olmaması. Assolini, İspanya'daki polis ve bankaların Brezilya federal polisine bu adamları yakalaması için baskı yaptığı Granadoreiro olayında olduğu gibi, ülke dışında bir varlığın baskı uyguladığı durumlarda daha iyi sonuç verdiğini söylüyor.

Dolayısıyla şu sonuca varıyor: "Daha iyiye gidiyorlar, ancak alınacak daha çok yol var, çünkü birçok siber suçlu [Brezilya'da] hala serbest ve dünya çapında çok sayıda saldırı gerçekleştiriyor."

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.