Un nou troian bancar sofisticat care fura informatii financiare sensibile si introduce tactici avansate pentru a evita detectarea a fost descoperit de echipa globala de cercetare si analiza (GReAT) a Kaspersky.
Numit „Coyote”, acest malware se bazeaza pe programul de instalare Squirrel pentru distributie, numele sau inspirandu-se din coioti, pradatorii naturali ai veveritelor.
Expertii Kaspersky au identificat „Coyote”, un nou troian bancar sofisticat care foloseste tactici avansate de evaziune pentru a fura informatii financiare sensibile.
Vizand in primul rand utilizatorii afiliati la peste 60 de institutii bancare din Brazilia, Coyote utilizeaza programul de instalare Squirrel pentru distributia sa - o metoda rareori intalnita in livrarea de malware.
Cercetatorii Kaspersky au investigat si identificat intregul proces de infectare desfasurat de Coyote.
In loc sa urmeze calea obisnuita infectand programe de instalare cunoscute, Coyote a ales Squirrel, un instrument relativ nou, pentru a instala si actualiza aplicatiile desktop Windows. In acest fel, Coyote isi ascunde loader-ul din etapa initiala pretinzand ca este doar un pachet de actualizare.
Coyote utilizeaza Nim, un limbaj de programare modern, multiplatforma, ca loader-ul din etapa finala a procesului de infectie, fapt care il face si mai complicat de detectat.
Acest lucru se aliniaza unei tendinte observate de Kaspersky, in care infractorii cibernetici folosesc limbaje mai putin populare si multiplatforme, demonstrandu-si adaptabilitatea la cele mai recente tendinte in tehnologie.
Modalitatea de infectare a lui Coyote implica o aplicatie NodeJS care executa cod JavaScript complicat, un loader Nim care genereaza un executabil .NET si, in final, executia unui troian. In timp ce Coyote nu ascunde propriu zis codul, foloseste string obfuscation cu criptare AES (Advanced Encryption Standard) pentru un plus de eficienta in camuflare.
Scopul troianului este in concordanta cu comportamentul tipic al troianului bancar: urmareste accesarea aplicatiei sau site-ului bancar specific.
Odata ce aplicatiile bancare sunt active, Coyote comunica imediat cu serverul sau de comanda si control folosind canale SSL cu autentificare reciproca.
Folosirea de catre troian a comunicarii criptate si capacitatea sa de a efectua actiuni specifice, cum ar fi inregistrarea tastelor si realizarea de capturi de ecran, evidentiaza natura sa avansata.
Poate chiar sa solicite anumite parole ale cardurilor bancare si sa configureze o pagina falsa pentru a obtine acreditarile de utilizator.
Datele de telemetrie Kaspersky arata ca aproximativ 90% dintre infectiile cu Coyote provin din Brazilia, avand un impact mare asupra securitatii cibernetice financiare a regiunii.
Cititi raportul complet despre troianul bancar Coyote pe Securelist.com.
Pentru protectie impotriva amenintarilor financiare, Kaspersky recomanda:
Instalati numai aplicatii obtinute din surse de incredere.
Evitati aprobarea drepturilor sau a permisiunilor solicitate de aplicatii fara a va asigura mai intai ca se potrivesc cu setul de caracteristici al aplicatiei.
Nu deschideti niciodata link-uri sau documente incluse in mesaje neasteptate sau cu aspect suspect.
Utilizati o solutie de securitate fiabila, cum ar fi Kaspersky Premium,, care va protejeaza pe dumneavoastra si infrastructura digitala de o gama larga de amenintari cibernetice financiare.
Pentru a va proteja businessul de programele malware financiare, expertii in securitate Kaspersky recomanda:
Oferirea de traininguri de constientizare a securitatii cibernetice, in special pentru angajatii responsabili de contabilitate, care includ instructiuni despre cum sa detectam paginile de phishing.
Imbunatatirea alfabetizarii digitale a personalului.
Activarea unei politici de respingere implicita pentru profilurile critice de utilizatori, in special cele din departamentele financiare, care asigura accesarea numai a resurselor web legitime.
Instalarea celor mai recente actualizari si patch-uri pentru toate software-urile utilizate.