Tamamı Brezilya menşeli olan 61 bankacılık kurumu, yeni bir bankacılık truva atının hedefi oldu. Çakal.
Rus siber güvenlik firması Kaspersky Perşembe günkü raporunda, “Bu kötü amaçlı yazılım dağıtım için Squirrel yükleyicisini kullanıyor, Node.js’den ve Nim adı verilen nispeten yeni bir çoklu platform programlama dilinden yararlanarak bulaşmasını tamamlamak için yükleyici olarak kullanıyor.” dedi.
Coyote’u kendi türündeki diğer bankacılık truva atlarından farklı kılan şey, Windows uygulamalarını yüklemek ve güncellemek için açık kaynaklı Squirrel çerçevesinin kullanılmasıdır. Bir diğer dikkate değer değişiklik, Latin Amerika’yı hedef alan bankacılık kötü amaçlı yazılım aileleri arasında yaygın olan Delphi’den Nim gibi alışılmadık programlama dillerine geçiştir.
Kaspersky tarafından belgelenen saldırı zincirinde, çalıştırılabilir bir Squirrel yükleyicisi, Electron ile derlenen bir Node.js uygulaması için başlatma paneli olarak kullanılıyor ve bu da, kötü niyetli Coyote yükünün yürütülmesini tetiklemek için Nim tabanlı bir yükleyici çalıştırıyor. DLL yandan yükleme.
“libcef.dll” adlı kötü amaçlı dinamik bağlantı kitaplığı, yine Node.js projesine dahil olan “obs-browser-page.exe” adlı yasal bir yürütülebilir dosya aracılığıyla yandan yüklenir. Orijinal libcef.dll dosyasının Chromium Embedded Framework’ün (CEF) bir parçası olduğunu belirtmekte fayda var.
Coyote, çalıştırıldıktan sonra “kurbanın sistemindeki tüm açık uygulamaları izliyor ve belirli bankacılık uygulamasına veya web sitesine erişilmesini bekliyor” ve ardından bir sonraki aşama direktiflerini almak için aktör kontrollü bir sunucuyla iletişime geçiyor.
Ekran görüntüsü almak, tuş vuruşlarını kaydetmek, işlemleri sonlandırmak, sahte katmanları görüntülemek, fare imlecini belirli bir konuma taşımak ve hatta makineyi kapatmak için çok çeşitli komutları yürütme yeteneğine sahiptir. Ayrıca, arka planda kötü amaçlı eylemler gerçekleştirirken sahte bir “Güncellemeler üzerinde çalışılıyor…” mesajıyla makineyi doğrudan engelleyebilir.
Kaspersky, “Yükleyici olarak Nim’in eklenmesi truva atının tasarımına karmaşıklık katıyor” dedi. “Bu evrim, tehdit ortamındaki giderek artan karmaşıklığı vurguluyor ve tehdit aktörlerinin kötü niyetli kampanyalarında en yeni dilleri ve araçları nasıl adapte ettiğini ve kullandığını gösteriyor.”
Bu gelişme, Brezilya kolluk kuvvetlerinin Grandoreiro operasyonunu sona erdirmesi ve Brezilya’nın beş eyaletinde kötü amaçlı yazılımın arkasındaki beyinler için beş geçici tutuklama emri ve 13 arama ve el koyma emri çıkarmasıyla ortaya çıktı.
Bu aynı zamanda, MrTonyScam ile bağlantılı Vietnamlı mimarlarla ilgili olan ve bubi tuzaklı Microsoft Excel ve Word belgeleri aracılığıyla dağıtılan Python tabanlı yeni bir bilgi hırsızının keşfinin de ardından geliyor.
Hırsız “tarayıcıların çerezlerini ve oturum açma verilerini topluyor” […] Fortinet FortiGuard Labs, bu hafta yayınlanan bir raporda, Chrome ve Edge gibi tanıdık tarayıcılardan Cốc Cốc tarayıcısı gibi yerel pazara odaklanan tarayıcılara kadar geniş bir tarayıcı yelpazesinden “dedi.