Un nou troian bancar sofisticat care fură informaţii financiare sensibile şi introduce tactici avansate pentru a evita detectarea a fost descoperit de echipa globală de cercetare şi analiză (GReAT) a Kaspersky. Numit "Coyote", acest malware se bazează pe programul de instalare Squirrel pentru distribuţie, numele său inspirându-se din coioţi, prădătorii naturali ai veveriţelor, conform unui comunicat de presă al companiei.
Experţii Kaspersky au identificat "Coyote", un nou troian bancar sofisticat care foloseşte tactici avansate de evaziune pentru a fura informaţii financiare sensibile. Vizând în primul rând utilizatorii afiliaţi la peste 60 de instituţii bancare din Brazilia, Coyote utilizează programul de instalare Squirrel pentru distribuţia sa - o metodă rareori întâlnită în livrarea de malware. Cercetătorii Kaspersky au investigat şi identificat întregul proces de infectare desfăşurat de Coyote.
În loc să urmeze calea obişnuită infectând programe de instalare cunoscute, Coyote a ales Squirrel, un instrument relativ nou, pentru a instala şi actualiza aplicaţiile desktop Windows. În acest fel, Coyote îşi ascunde loader-ul din etapă iniţială pretinzând că este doar un pachet de actualizare.
Coyote utilizează Nim, un limbaj de programare modern, multiplatformă, ca loader-ul din etapa finală a procesului de infecţie, fapt care îl face şi mai complicat de detectat. Acest lucru se aliniază unei tendinţe observate de Kaspersky, în care infractorii cibernetici folosesc limbaje mai puţin populare şi multiplatforme, demonstrându-şi adaptabilitatea la cele mai recente tendinţe în tehnologie.
Modalitatea de infectare a lui Coyote implică o aplicaţie NodeJS care execută cod JavaScript complicat, un loader Nim care generează un executabil .NET şi, în final, execuţia unui troian. În timp ce Coyote nu ascunde propriu zis codul, foloseşte string obfuscation cu criptare AES (Advanced Encryption Standard) pentru un plus de eficienţă în camuflare. Scopul troianului este în concordanţă cu comportamentul tipic al troianului bancar: urmăreşte accesarea aplicaţiei sau site-ului bancar specific.
Odată ce aplicaţiile bancare sunt active, Coyote comunică imediat cu serverul său de comandă şi control folosind canale SSL cu autentificare reciprocă. Folosirea de către troian a comunicării criptate şi capacitatea sa de a efectua acţiuni specifice, cum ar fi înregistrarea tastelor şi realizarea de capturi de ecran, evidenţiază natura sa avansată. Poate chiar să solicite anumite parole ale cardurilor bancare şi să configureze o pagină falsă pentru a obţine acreditările de utilizator.
Datele de telemetrie Kaspersky arată că aproximativ 90% dintre infecţiile cu Coyote provin din Brazilia, având un impact mare asupra securităţii cibernetice financiare a regiunii.
Pentru protecţie împotriva ameninţărilor financiare, Kaspersky recomandă:
Instalaţi numai aplicaţii obţinute din surse de încredere.
Evitaţi aprobarea drepturilor sau a permisiunilor solicitate de aplicaţii fără a vă asigura mai întâi că se potrivesc cu setul de caracteristici al aplicaţiei.
Nu deschideţi niciodată link-uri sau documente incluse în mesaje neaşteptate sau cu aspect suspect.
Utilizaţi o soluţie de securitate fiabilă, cum ar fi Kaspersky Premium,, care vă protejează pe dumneavoastră şi infrastructura digitală de o gamă largă de ameninţări cibernetice financiare.
Pentru a vă proteja businessul de programele malware financiare, experţii în securitate Kaspersky recomandă:
Oferirea de traininguri de conştientizare a securităţii cibernetice, în special pentru angajaţii responsabili de contabilitate, care includ instrucţiuni despre cum să detectăm paginile de phishing.
Îmbunătăţirea alfabetizării digitale a personalului.
Activarea unei politici de respingere implicită pentru profilurile critice de utilizatori, în special cele din departamentele financiare, care asigură accesarea numai a resurselor web legitime.
Instalarea celor mai recente actualizări şi patch-uri pentru toate software-urile utilizate.