Brezilya Windows kullanıcıları Çakal.
Fortinet Fordiguard Labs araştırmacısı Cara Lin, geçen hafta yayınlanan bir analizde, “Konuştuğunda, Coyote Bankacılık Truva atı, anahtarlama, ekran görüntüleri yakalama ve hassas kimlik bilgilerini çalmak için kimlik avı kaplamaları sergilemek de dahil olmak üzere çeşitli kötü amaçlı etkinlikler gerçekleştirebilir.” Dedi.
Siber güvenlik şirketi, geçtiğimiz ay boyunca, kötü amaçlı yazılımları teslim etmekten sorumlu PowerShell komutlarını içeren birkaç Windows kısayolu (LNK) dosya artefaktlarını keşfettiğini söyledi.
Coyote ilk olarak Kaspersky tarafından 2024’ün başlarında belgelendi ve Güney Amerika ülkesindeki kullanıcıları hedefleyen saldırılarını detaylandırdı. 70’den fazla finansal başvurudan hassas bilgileri hasat edebilir.
Rus siber güvenlik firması tarafından belgelenen önceki saldırı zincirinde, elektronla derlenen bir node.js uygulamasını tetiklemek için bir sincap yükleyici yürütülebilir, kötü niyetli çakal yükünün yürütülmesini tetiklemek için NIM tabanlı bir yükleyici çalıştırır. .
En son enfeksiyon dizisi ise, bir sonraki aşamayı uzak bir sunucudan almak için bir PowerShell komutunu yürüten bir LNK dosyasıyla başlar (“Tbet.Geontrigame[.]com “), ara yükü yürütmekten sorumlu bir yükleyiciyi başlatan başka bir PowerShell betiği.
Lin, “Enjekte edilen kod, son MSIL (Microsoft ara dil) yüklerini şifresini çözmek ve yürütmek için tasarlanmış bir araç olan Donut’tan yararlanıyor.” Dedi. “Şifre çözülmüş MSIL yürütme dosyası önce ‘HCKU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.’
“Bulunursa, mevcut girişi kaldırır ve rastgele oluşturulan bir ada sahip yeni bir giriş oluşturur. Bu yeni kayıt defteri girişi, Trojan Bankası Bankası’nın ana işlevlerini indirmek ve yürütmek için işaret eden özelleştirilmiş bir PowerShell komutu içerir. . “
Kötü amaçlı yazılım, başlatıldıktan sonra, temel sistem bilgilerini ve ana bilgisayar üzerindeki yüklü antivirüs ürünlerinin listesini toplar, bundan sonra veriler temel kodlu ve uzak bir sunucuya eklenir. Ayrıca kum havuzları ve sanal ortamlar tarafından tespitten kaçınmak için çeşitli kontroller yapar.
Coyote’un en son yinelemesinde dikkate değer bir değişiklik, hedef listesinin 1.030 siteyi ve mercadobitcoin.com.br, bitcointrade.com.br gibi 73 finans acentesini kapsayacak şekilde genişletilmesidir. , Blumenhotelboutique.com.br ve fallshotel.com.br.
Mağdur, listedeki sitelerden herhangi birine erişmeye çalışırsa, kötü amaçlı yazılım, bir ekran görüntüsü yakalamaktan kaplamalara kadar değişebilecek bir sonraki eylem tarzını belirlemek için saldırgan kontrollü bir sunucu ile temasa geçer. Diğer bazı işlevler, bir Keylogger’ın etkinleştirilmesini ve ekran ayarlarını manipüle etmeyi içerir.
Lin, “Coyote’un enfeksiyon süreci karmaşık ve çok aşamalı.” Dedi. Diyerek şöyle devam etti: “Bu saldırı, daha sonra diğer kötü amaçlı dosyaların keşfedilmesine yol açan ilk erişim için bir LNK dosyasından yararlandı. Bu Truva, özellikle ilk hedeflerinin ötesine geçme potansiyeline sahip olduğu için finansal siber güvenliğe önemli bir tehdit oluşturuyor.”