Novo Trojan Coyote atinge 61 bancos brasileiros com ataque movido por Nim. Sessenta e uma instituições bancárias, todas originárias do Brasil, são alvo de um novo trojan bancário chamado Coyote .
“Este malware utiliza o instalador Squirrel para distribuição, aproveitando o Node.js e uma linguagem de programação multiplataforma relativamente nova chamada Nim como carregador para completar sua infecção”, disse a empresa russa de segurança cibernética Kaspersky em um relatório de quinta-feira.
O que torna o Coyote uma raça diferente de outros trojans bancários desse tipo é o uso da estrutura Squirrel de código aberto para instalar e atualizar aplicativos do Windows. Outra mudança notável é a mudança do Delphi – que prevalece entre as famílias de malware bancário direcionadas à América Latina – para uma linguagem de programação incomum como o Nim.
Na cadeia de ataque documentada pela Kaspersky, um executável do instalador Squirrel é usado como plataforma de lançamento para um aplicativo Node.js compilado com Electron, que, por sua vez, executa um carregador baseado em Nim para acionar a execução da carga útil maliciosa do Coyote por meio de Carregamento lateral de DLL .
A biblioteca de vínculo dinâmico maliciosa, chamada “libcef.dll”, é carregada lateralmente por meio de um executável legítimo chamado “obs-browser-page.exe”, que também está incluído no projeto Node.js. É importante notar que o libcef.dll original faz parte do Chromium Embedded Framework (CEF).
O Coyote, uma vez executado, “monitora todos os aplicativos abertos no sistema da vítima e espera que o aplicativo bancário ou site específico seja acessado”, contatando posteriormente um servidor controlado por um ator para obter as diretivas do próximo estágio.
Ele tem a capacidade de executar uma ampla variedade de comandos para fazer capturas de tela, registrar pressionamentos de teclas, encerrar processos, exibir sobreposições falsas, mover o cursor do mouse para um local específico e até desligar a máquina. Ele também pode bloquear completamente a máquina com uma mensagem falsa “Trabalhando em atualizações…” enquanto executa ações maliciosas em segundo plano.
“A adição do Nim como carregador adiciona complexidade ao design do trojan”, disse Kaspersky. “Essa evolução destaca a crescente sofisticação do cenário de ameaças e mostra como os agentes de ameaças estão se adaptando e usando as linguagens e ferramentas mais recentes em suas campanhas maliciosas”.
O desenvolvimento ocorre no momento em que as autoridades brasileiras desmantelaram a operação Grandoreiro e emitiram cinco mandados de prisão temporária e 13 mandados de busca e apreensão para os mentores do malware em cinco estados brasileiros.
Ele também segue a descoberta de um novo ladrão de informações baseado em Python que está relacionado aos arquitetos vietnamitas associados ao MrTonyScam e distribuído por meio de documentos do Microsoft Excel e do Word com armadilhas.
O ladrão “coleta cookies de navegadores e dados de login […] de uma ampla variedade de navegadores, desde navegadores familiares, como Chrome e Edge, até navegadores focados no mercado local, como o navegador Cốc Cốc”, disse Fortinet FortiGuard Labs em um relatório publicado esta semana.
Veja também:
- Vazamento compromete dados de funcionários da Verizon
- Nova York processa Citibank por falta de segurança de dados
- Cloudflare hackeado
- Segurança cibernética e IA terão atenção redobrada em telecom
- IA Generativa se torna a “melhor amiga” dos cibercriminosos
- Uso de IA aumenta ataques de Phishing
- Empresas de saúde estão vulneráveis
- Cibersegurança: é importante ter consciência do perigo e investir em proteção
- Cibersegurança 2024: ferramentas devem ser mais fáceis de integrar
- Informações privilegiadas de funcionários e cibercriminosos na Darknet
- Tecnologia baseada em IA combate crimes envolvendo motos com garupa
2 Trackbacks / Pingbacks