Novo Trojan Coyote atinge 61 bancos brasileiros com ataque movido por Nim

Novo Trojan Coyote atinge 61 bancos brasileiros com ataque movido por Nim. Sessenta e uma instituições bancárias, todas originárias do Brasil, são alvo de um novo trojan bancário chamado Coyote .

Este malware utiliza o instalador Squirrel para distribuição, aproveitando o Node.js e uma linguagem de programação multiplataforma relativamente nova chamada Nim como carregador para completar sua infecção”, disse a empresa russa de segurança cibernética Kaspersky em um relatório de quinta-feira.

O que torna o Coyote uma raça diferente de outros trojans bancários desse tipo é o uso da estrutura Squirrel de código aberto para instalar e atualizar aplicativos do Windows. Outra mudança notável é a mudança do Delphi – que prevalece entre as famílias de malware bancário direcionadas à América Latina – para uma linguagem de programação incomum como o Nim.

Na cadeia de ataque documentada pela Kaspersky, um executável do instalador Squirrel é usado como plataforma de lançamento para um aplicativo Node.js compilado com Electron, que, por sua vez, executa um carregador baseado em Nim para acionar a execução da carga útil maliciosa do Coyote por meio de Carregamento lateral de DLL .

A biblioteca de vínculo dinâmico maliciosa, chamada “libcef.dll”, é carregada lateralmente por meio de um executável legítimo chamado “obs-browser-page.exe”, que também está incluído no projeto Node.js. É importante notar que o libcef.dll original faz parte do Chromium Embedded Framework (CEF).

O Coyote, uma vez executado, “monitora todos os aplicativos abertos no sistema da vítima e espera que o aplicativo bancário ou site específico seja acessado”, contatando posteriormente um servidor controlado por um ator para obter as diretivas do próximo estágio.

Trojan bancário Coyote

Ele tem a capacidade de executar uma ampla variedade de comandos para fazer capturas de tela, registrar pressionamentos de teclas, encerrar processos, exibir sobreposições falsas, mover o cursor do mouse para um local específico e até desligar a máquina. Ele também pode bloquear completamente a máquina com uma mensagem falsa “Trabalhando em atualizações…” enquanto executa ações maliciosas em segundo plano.

A adição do Nim como carregador adiciona complexidade ao design do trojan”, disse Kaspersky. “Essa evolução destaca a crescente sofisticação do cenário de ameaças e mostra como os agentes de ameaças estão se adaptando e usando as linguagens e ferramentas mais recentes em suas campanhas maliciosas”.

O desenvolvimento ocorre no momento em que as autoridades brasileiras desmantelaram a operação Grandoreiro e emitiram cinco mandados de prisão temporária e 13 mandados de busca e apreensão para os mentores do malware em cinco estados brasileiros.

Ele também segue a descoberta de um novo ladrão de informações baseado em Python que está relacionado aos arquitetos vietnamitas associados ao MrTonyScam e distribuído por meio de documentos do Microsoft Excel e do Word com armadilhas.

O ladrão “coleta cookies de navegadores e dados de login […] de uma ampla variedade de navegadores, desde navegadores familiares, como Chrome e Edge, até navegadores focados no mercado local, como o navegador Cốc Cốc”, disse Fortinet FortiGuard Labs em um relatório publicado esta semana.

 

Veja também:

Sobre mindsecblog 2432 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Epidemia de ransomware e expansão da IA em cibersegurança | Minuto da Segurança da Informação
  2. Avast pagará US$ 16,5 milhões por venda informações de usuários | Minuto da Segurança da Informação

Deixe sua opinião!