ClickCease Warnung: Coyote-Trojaner kompromittiert 61 brasilianische Banken

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Warnung: Coyote-Trojaner kompromittiert 61 brasilianische Banken

Wajahat Raja

23. Februar 2024. TuxCare-Expertenteam

Cyberangriffe auf den Finanzsektor stellen eine erhebliche Bedrohung für die Stabilität der globalen Wirtschaft und die Sicherheit der Finanzinstitute dar. Die jüngste Entwicklung im Bereich der Cybersicherheit hat gezeigt, dass erstaunlich viele 61 Banken in Brasilien einem ausgeklügelten Bankentrojaner zum Opfer gefallen, der als Coyote-Trojaner. Nach Erkenntnissen des russischen Cybersicherheitsunternehmens Kaspersky verfolgt die Malware einen einzigartigen Ansatz, indem sie das Installationsprogramm Squirrel, Node.js und die relativ neue Programmiersprache Nim für ihre Operationen nutzt.

 

Die unkonventionelle Taktik des Coyote Trojaners


Im Gegensatz zu seinen Pendants hebt sich Coyote durch die Verwendung des Open-Source-Frameworks Squirrel für die Installation und Aktualisierung von Windows-Anwendungen ab. Abweichend von der in lateinamerikanischen Ländern häufig verwendeten Sprache Delphi
Banken-Malwareentscheidet sich Coyote für Nim und zeigt damit, dass sich die Landschaft im Bereich der Cyber-Bedrohungen weiterentwickelt.


Angriffskette und -techniken


Der Bericht von Kaspersky beschreibt eine komplexe Angriffskette. Das Squirrel-Installationsprogramm dient als Startrampe für eine mit Electron kompilierte Node.js-Anwendung. Diese wiederum löst einen Nim-basierten Lader aus, der die Ausführung der Coyote
Nutzlast durch DLL-Side-Loading.

Die bösartige "libcef.dll" wird über eine legitime ausführbare Datei namens "obs-browser-page.exe"," eingebettet in das Node.js-Projekt. Die echte libcef.dll ist Teil des Chromium Embedded Framework (CEF). Erkennung von Malware ist für den Schutz digitaler Güter und die Verhinderung des unbefugten Zugriffs auf sensible Informationen unerlässlich.

 

Funktionsweise von Coyote


Einmal aktiviert, überwacht Coyote alle offenen Anwendungen auf dem System des Opfers und wartet geduldig auf den Zugriff auf bestimmte Bankanwendungen oder Websites. Dann kommuniziert er mit einem Server, der von Bedrohungsakteuren kontrolliert wird, um Anweisungen für nachfolgende Aktionen zu erhalten. 

Die Fähigkeiten von Coyote erstrecken sich auf die Ausführung von Befehlen wie die Aufnahme von Screenshots, die Protokollierung von Tastatureingaben, die Beendigung von Prozessen, die Anzeige von gefälschten Overlays, die strategische Bewegung des Mauszeigers und sogar die Einleitung des Herunterfahrens des Computers. Er kann die Benutzeroberfläche täuschend echt mit einer irreführenden Meldung blockieren "Wir arbeiten an Updates..." blockieren, während er im Hintergrund heimlich bösartige Aktivitäten ausführt. Dies zeigt, dass Trojaner-Infektionen sowohl für Privatpersonen als auch für Unternehmen ein ständiges Problem darstellen und die Online-Banking-Sicherheit und die Systemintegrität gefährden.

 

Fortschrittliches Design des Kojoten


Die Einbindung von Nim als Lader in Coyote unterstreicht dessen fortschrittliches Design. Kaspersky unterstreicht diese Entwicklung und verdeutlicht die zunehmende Raffinesse der Bedrohungslandschaft. Die Bedrohungsakteure passen sich an und integrieren die neuesten Sprachen und Tools in ihre bösartigen Kampagnen, was eine ständige Herausforderung für
Cyber-Bedrohungsanalyse Experten.


Reaktion der Strafverfolgungsbehörden


Als Reaktion auf die Coyote-Drohung haben die brasilianischen Strafverfolgungsbehörden gehandelt und die Grandoreiro-Operation zerschlagen. Fünf vorläufige Haftbefehle und 13 Durchsuchungs- und Beschlagnahmungsbefehle wurden in fünf brasilianischen Bundesstaaten ausgestellt, um die Drahtzieher hinter der
Schadsoftware. Dieser strategische Schritt bedeutet eine konzertierte Aktion, um die Auswirkungen von Coyote auf den Finanzsektor einzudämmen.

 


Das Auftauchen von Coyote steht im Einklang mit der Zerschlagung der Grandoreiro-Operation in Brasilien. Gleichzeitig ist ein neuer, auf Python basierender Informationsdieb aufgetaucht, der mit vietnamesischen Architekten in Verbindung gebracht wird, die mit MrTonyScam in Verbindung stehen. 

Dieser Informationsdieb wird über mit Fallen versehene Microsoft Excel- und Word-Dokumente verbreitet und sammelt Browser-Cookies und Anmeldedaten von verschiedenen Browsern, darunter auch von beliebten Browsern wie Chrome und Edge sowie von auf den lokalen Markt ausgerichteten Browsern wie Cốc Cốc.


Schlussfolgerung


Die Infiltration von 61 brasilianischen Banken durch den Coyote-Trojaner
brasilianischen BankensystemsDie Infiltration von 61 brasilianischen Bankensystemen durch den Coyote-Trojaner macht deutlich, dass sich die Taktiken von Cyberkriminellen ständig weiterentwickeln. Da die Bedrohungslandschaft von Banking-Trojaner Bedrohungslage durch Banktrojaner weiter zunimmt, müssen Unternehmen wachsam bleiben und proaktive Maßnahmen zur Cybersicherheit. Die jüngsten Strafverfolgungsmaßnahmen gegen die Grandoreiro-Operation unterstreichen die gemeinsamen Anstrengungen zur Eindämmung dieser Bedrohungen der CybersicherheitDie dynamische Natur der Strategien von Cyberkriminellen erfordert jedoch eine ständige Anpassung und Innovation der Abwehrmechanismen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Kaspersky.

 

Zusammenfassung
Warnung: Coyote-Trojaner kompromittiert 61 brasilianische Banken
Artikel Name
Warnung: Coyote-Trojaner kompromittiert 61 brasilianische Banken
Beschreibung
Bleiben Sie auf dem Laufenden über die neueste Bedrohung der Cybersicherheit: 61 brasilianische Banken sind Ziel des Coyote-Trojaners. Schützen Sie Ihr Vermögen jetzt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter