Warnung: Coyote-Trojaner kompromittiert 61 brasilianische Banken
Cyberangriffe auf den Finanzsektor stellen eine erhebliche Bedrohung für die Stabilität der globalen Wirtschaft und die Sicherheit der Finanzinstitute dar. Die jüngste Entwicklung im Bereich der Cybersicherheit hat gezeigt, dass erstaunlich viele 61 Banken in Brasilien einem ausgeklügelten Bankentrojaner zum Opfer gefallen, der als Coyote-Trojaner. Nach Erkenntnissen des russischen Cybersicherheitsunternehmens Kaspersky verfolgt die Malware einen einzigartigen Ansatz, indem sie das Installationsprogramm Squirrel, Node.js und die relativ neue Programmiersprache Nim für ihre Operationen nutzt.
Die unkonventionelle Taktik des Coyote Trojaners
Im Gegensatz zu seinen Pendants hebt sich Coyote durch die Verwendung des Open-Source-Frameworks Squirrel für die Installation und Aktualisierung von Windows-Anwendungen ab. Abweichend von der in lateinamerikanischen Ländern häufig verwendeten Sprache Delphi Banken-Malwareentscheidet sich Coyote für Nim und zeigt damit, dass sich die Landschaft im Bereich der Cyber-Bedrohungen weiterentwickelt.
Angriffskette und -techniken
Der Bericht von Kaspersky beschreibt eine komplexe Angriffskette. Das Squirrel-Installationsprogramm dient als Startrampe für eine mit Electron kompilierte Node.js-Anwendung. Diese wiederum löst einen Nim-basierten Lader aus, der die Ausführung der Coyote Nutzlast durch DLL-Side-Loading.
Die bösartige "libcef.dll" wird über eine legitime ausführbare Datei namens "obs-browser-page.exe"," eingebettet in das Node.js-Projekt. Die echte libcef.dll ist Teil des Chromium Embedded Framework (CEF). Erkennung von Malware ist für den Schutz digitaler Güter und die Verhinderung des unbefugten Zugriffs auf sensible Informationen unerlässlich.
Funktionsweise von Coyote
Einmal aktiviert, überwacht Coyote alle offenen Anwendungen auf dem System des Opfers und wartet geduldig auf den Zugriff auf bestimmte Bankanwendungen oder Websites. Dann kommuniziert er mit einem Server, der von Bedrohungsakteuren kontrolliert wird, um Anweisungen für nachfolgende Aktionen zu erhalten.
Die Fähigkeiten von Coyote erstrecken sich auf die Ausführung von Befehlen wie die Aufnahme von Screenshots, die Protokollierung von Tastatureingaben, die Beendigung von Prozessen, die Anzeige von gefälschten Overlays, die strategische Bewegung des Mauszeigers und sogar die Einleitung des Herunterfahrens des Computers. Er kann die Benutzeroberfläche täuschend echt mit einer irreführenden Meldung blockieren "Wir arbeiten an Updates..." blockieren, während er im Hintergrund heimlich bösartige Aktivitäten ausführt. Dies zeigt, dass Trojaner-Infektionen sowohl für Privatpersonen als auch für Unternehmen ein ständiges Problem darstellen und die Online-Banking-Sicherheit und die Systemintegrität gefährden.
Fortschrittliches Design des Kojoten
Die Einbindung von Nim als Lader in Coyote unterstreicht dessen fortschrittliches Design. Kaspersky unterstreicht diese Entwicklung und verdeutlicht die zunehmende Raffinesse der Bedrohungslandschaft. Die Bedrohungsakteure passen sich an und integrieren die neuesten Sprachen und Tools in ihre bösartigen Kampagnen, was eine ständige Herausforderung für Cyber-Bedrohungsanalyse Experten.
Reaktion der Strafverfolgungsbehörden
Als Reaktion auf die Coyote-Drohung haben die brasilianischen Strafverfolgungsbehörden gehandelt und die Grandoreiro-Operation zerschlagen. Fünf vorläufige Haftbefehle und 13 Durchsuchungs- und Beschlagnahmungsbefehle wurden in fünf brasilianischen Bundesstaaten ausgestellt, um die Drahtzieher hinter der Schadsoftware. Dieser strategische Schritt bedeutet eine konzertierte Aktion, um die Auswirkungen von Coyote auf den Finanzsektor einzudämmen.
Aufkommende Trends der Cyberkriminalität
Das Auftauchen von Coyote steht im Einklang mit der Zerschlagung der Grandoreiro-Operation in Brasilien. Gleichzeitig ist ein neuer, auf Python basierender Informationsdieb aufgetaucht, der mit vietnamesischen Architekten in Verbindung gebracht wird, die mit MrTonyScam in Verbindung stehen.
Dieser Informationsdieb wird über mit Fallen versehene Microsoft Excel- und Word-Dokumente verbreitet und sammelt Browser-Cookies und Anmeldedaten von verschiedenen Browsern, darunter auch von beliebten Browsern wie Chrome und Edge sowie von auf den lokalen Markt ausgerichteten Browsern wie Cốc Cốc.
Schlussfolgerung
Die Infiltration von 61 brasilianischen Banken durch den Coyote-Trojaner brasilianischen BankensystemsDie Infiltration von 61 brasilianischen Bankensystemen durch den Coyote-Trojaner macht deutlich, dass sich die Taktiken von Cyberkriminellen ständig weiterentwickeln. Da die Bedrohungslandschaft von Banking-Trojaner Bedrohungslage durch Banktrojaner weiter zunimmt, müssen Unternehmen wachsam bleiben und proaktive Maßnahmen zur Cybersicherheit. Die jüngsten Strafverfolgungsmaßnahmen gegen die Grandoreiro-Operation unterstreichen die gemeinsamen Anstrengungen zur Eindämmung dieser Bedrohungen der CybersicherheitDie dynamische Natur der Strategien von Cyberkriminellen erfordert jedoch eine ständige Anpassung und Innovation der Abwehrmechanismen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Kaspersky.