Alerte : Le cheval de Troie Coyote compromet 61 banques brésiliennes
Les cyberattaques financières constituent une menace importante pour la stabilité des économies mondiales et la sécurité des institutions financières. Lors d'un récent développement en matière de cybersécurité, un nombre stupéfiant de 61 banques au Brésil ont été victimes d'un cheval de Troie bancaire sophistiqué connu sous le nom de cheval de Troie Coyote. Selon les conclusions de l'entreprise russe de cybersécurité Kaspersky, ce logiciel malveillant utilise une approche unique, en recourant à l'installateur Squirrel, à Node.js et au langage de programmation Nim, relativement nouveau, pour ses opérations.
Les tactiques non conventionnelles de Coyote Trojan
Contrairement à ses homologues, Coyote se distingue par l'utilisation du cadre Squirrel (open-source) pour l'installation et la mise à jour des applications Windows. S'éloignant du langage Delphi couramment utilisé dans les logiciels malveillants bancaires d'Amérique latine, Coyote se distingue par l'utilisation de Squirrel. malware bancaires d'Amérique latineCoyote opte pour Nim, ce qui témoigne de l'évolution du paysage dans le domaine des cybermenaces.
Chaîne et techniques d'attaque
Le rapport de Kaspersky décrit une chaîne d'attaque complexe. Le programme d'installation Squirrel sert de point de départ à une application Node.js compilée avec Electron. Celle-ci déclenche à son tour un chargeur basé sur Nim, facilitant l'exécution de la charge utile Coyote par le biais d'un chargement latéral de DLL.
Le fichier malveillant "libcef.dll" est chargé latéralement à l'aide d'un exécutable légitime nommé "obs-browser-page.exe," intégré au projet Node.js. L'authentique libcef.dll fait partie du Chromium Embedded Framework (CEF). La détection des logiciels malveillants est essentielle pour protéger les actifs numériques et empêcher l'accès non autorisé à des informations sensibles.
Fonctionnalité de Coyote
Une fois activé, Coyote surveille toutes les applications ouvertes sur le système de la victime, attendant patiemment l'accès à des applications bancaires ou à des sites web spécifiques. Il communique ensuite avec un serveur contrôlé par des acteurs de la menace afin de récupérer des directives pour des actions ultérieures.
Les capacités de Coyote s'étendent à l'exécution de commandes telles que la capture d'écrans, l'enregistrement de frappes clavier, l'arrêt de processus, l'affichage de fausses superpositions, le déplacement stratégique du curseur de la souris et même l'arrêt de machines. Il peut bloquer l'interface utilisateur de manière trompeuse en affichant une fausse mention du type "Travailler sur des mises à jour..." tout en menant clandestinement des activités malveillantes en arrière-plan. Cela montre que les infections par des chevaux de Troie sont un problème persistant pour les particuliers comme pour les organisations, car elles compromettent la la sécurité des services bancaires en ligne et l'intégrité des systèmes.
La conception avancée de Coyote
L'incorporation de Nim comme chargeur dans Coyote souligne sa conception avancée. Kaspersky souligne cette évolution, mettant en lumière la sophistication croissante du paysage des menaces. Les acteurs de la menace s'adaptent et intègrent les langages et les outils les plus récents dans leurs campagnes malveillantes, ce qui constitue un défi permanent pour les services de renseignements sur les cybermenaces menaces.
Réponse des forces de l'ordre
En réponse à la menace de Coyote, les autorités brésiliennes chargées de l'application de la loi ont pris des mesures en démantelant l'opération Grandoreiro. Cinq mandats d'arrêt temporaires et 13 mandats de perquisition et de saisie ont été délivrés dans cinq États brésiliens afin d'appréhender les cerveaux à l'origine du logiciel malveillant. Cette décision stratégique témoigne d'un effort concerté pour atténuer l'impact de Coyote sur le secteur financier.
Nouvelles tendances en matière de cybercriminalité
L'émergence de Coyote coïncide avec le démantèlement de l'opération Grandoreiro au Brésil. Simultanément, un nouveau voleur d'informations basé sur Python a fait surface, lié à des architectes vietnamiens associés à MrTonyScam.
Ce voleur d'informations est distribué par le biais de documents Microsoft Excel et Word piégés, collectant des cookies de navigateur et des données de connexion à partir de divers navigateurs, y compris des navigateurs populaires comme Chrome et Edge, ainsi que des navigateurs axés sur le marché local comme Cốc Cốc.
Conclusion
L'infiltration du cheval de Troie Coyote dans 61 systèmes bancaires brésiliensest un rappel brutal de l'évolution des tactiques employées par les cybercriminels. Alors que le paysage de la menace des trojans bancaires continue de progresser, les organisations doivent rester vigilantes et donner la priorité à des des mesures de cybersécurité proactives. Les récentes mesures d'application de la loi prises à l'encontre de l'opération Grandoreiro soulignent les efforts de collaboration déployés pour lutter contre ces menaces de cybersécurité. menaces de cybersécuritéMais la nature dynamique des stratégies des cybercriminels nécessite une adaptation et une innovation permanentes des mécanismes de défense.
Les sources de cet article comprennent des articles dans The Hacker News et de Kaspersky.