[stock-market-ticker symbols="FB;BABA;AMZN;AXP;AAPL;DBD;EEFT;GTO.AS;ING.PA;MA;MGI;NPSNY;NCR;PYPL;005930.KS;SQ;HO.PA;V;WDI.DE;WU;WP" width="100%" palette="financial-light"]

Kaspersky a descoperit un troian bancar care a țintit peste 60 de instituții

12 februarie 2024

Experții Kaspersky au identificat „Coyote”, un nou troian bancar sofisticat care folosește tactici avansate de evaziune pentru a fura informații financiare sensibile. „Vizând în primul rând utilizatorii afiliați la peste 60 de instituții bancare din Brazilia, Coyote utilizează programul de instalare Squirrel pentru distribuția sa – o metodă rareori întâlnită în livrarea de malware.” potrivit comunicatului de presa.

Cercetătorii Kaspersky au investigat și identificat întregul proces de infectare desfășurat de Coyote. În loc să urmeze calea obișnuită infectând programe de instalare cunoscute, Coyote a ales Squirrel, un instrument relativ nou, pentru a instala și actualiza aplicațiile desktop Windows. În acest fel, Coyote își ascunde loader-ul din etapă inițială pretinzând că este doar un pachet de actualizare.

Coyote utilizează Nim, un limbaj de programare modern, multiplatformă, ca loader-ul din etapa finală a procesului de infecție, fapt care îl face și mai complicat de detectat. Acest lucru se aliniază unei tendințe observate de Kaspersky, în care infractorii cibernetici folosesc limbaje mai puțin populare și multiplatforme, demonstrându-și adaptabilitatea la cele mai recente tendințe în tehnologie.

Modalitatea de infectare a lui Coyote implică o aplicație NodeJS care execută cod JavaScript complicat, un loader Nim care generează un executabil .NET și, în final, execuția unui troian. În timp ce Coyote nu ascunde propriu zis codul, folosește „string obfuscation” cu criptare AES (Advanced Encryption Standard) pentru un plus de eficiență în camuflare. Scopul troianului este în concordanță cu comportamentul tipic al troianului bancar: urmărește accesarea aplicației sau site-ului bancar specific.

Odată ce aplicațiile bancare sunt active, Coyote comunică imediat cu serverul său de comandă și control folosind canale SSL cu autentificare reciprocă. Folosirea de către troian a comunicării criptate și capacitatea sa de a efectua acțiuni specifice, cum ar fi înregistrarea tastelor și realizarea de capturi de ecran, evidențiază natura sa avansată. Poate chiar să solicite anumite parole ale cardurilor bancare și să configureze o pagină falsă pentru a obține acreditările de utilizator.

Datele de telemetrie Kaspersky arată că aproximativ 90% dintre infecțiile cu Coyote provin din Brazilia, având un impact mare asupra securității cibernetice financiare a regiunii.

Noutăți
Cifra/Declaratia zilei

Anders Olofsson – former Head of Payments Finastra

Banking 4.0 – „how was the experience for you”

So many people are coming here to Bucharest, people that I see and interact on linkedin and now I get the change to meet them in person. It was like being to the Football World Cup but this was the World Cup on linkedin in payments and open banking.”

Many more interesting quotes in the video below:

Sondaj

In 23 septembrie 2019, BNR a anuntat infiintarea unui Fintech Innovation Hub pentru a sustine inovatia in domeniul serviciilor financiare si de plata. In acest sens, care credeti ca ar trebui sa fie urmatorul pas al bancii centrale?