コヨーテ バンキング トロイの木馬
研究者らは最近、61 のオンライン バンキング アプリケーションの認証情報を収集するように設計された、「Coyote」という名前のユニークなバンキング トロイの木馬を発見しました。 Coyote の脅威が他と異なる点は、銀行部門のアプリが広範囲にターゲットにされており、その大半がブラジルに集中していることです。このトロイの木馬は、基本コンポーネントと高度なコンポーネントが複雑に組み合わされている点で際立っています。具体的には、Squirrel と呼ばれる比較的新しいオープンソース インストーラーを採用し、NodeJ に依存し、あまり一般的ではないプログラミング言語「Nim」を利用し、十数もの有害な機能を誇っています。この発見は、ブラジルの金融マルウェア市場の注目すべき進歩を意味しており、その焦点がさらに拡大した場合、セキュリティ チームに重大な課題をもたらす可能性があります。
目次
ブラジルのサイバー犯罪者はバンキング型トロイの木馬の脅威に焦点を当てている
ブラジルのマルウェア開発者は、少なくとも 2000 年に遡る 20 年以上にわたり、バンキング型トロイの木馬を積極的に作成してきました。24 年間にわたる継続的な開発を通じて、進化する認証方法と保護テクノロジを巧みに操り、克服してきたことから、その創造性は明らかです。最新のトロイの木馬の出現。
専門家は現在、主にブラジルの消費者に焦点を当てた脅威としてコヨーテを強調していますが、組織にはその潜在的な能力を注意深く監視する切実な理由があります。過去の傾向によると、ブラジル市場で成功したマルウェア ファミリは、その範囲を国際的に拡大することがよくあります。したがって、企業や銀行は、コヨーテの影響が拡大した場合に備えて警戒し、対処する準備をしておく必要があります。
セキュリティ チームにとってもう 1 つの重要な考慮事項は、バンキング型トロイの木馬が本格的な初期アクセス型トロイの木馬やバックドアに進化する歴史的経過にあります。注目すべき例には、 EmotetとTrickbotの変換、そして最近ではQakBotとUrsinif が含まれます。このパターンは、より高度な脅威に進化する可能性があるため、新たなバンキング型トロイの木馬の出現に注意を払う重要性を強調しています。
Coyote Banking Trojan には有害な機能が満載のダイバーが装備されています
Coyote は強化された機能範囲を示し、スクリーンショットのキャプチャ、キーストロークの記録、プロセスの終了、マシンのシャットダウン、カーソルの操作などのさまざまなコマンドを実行できます。特に、欺瞞的な「更新作業中…」画面をオーバーレイすることでマシンのフリーズを引き起こす可能性もあります。
コヨーテの一般的な動作は、現代のバンキング型トロイの木馬の典型的なパターンに従っています。感染したシステム上で互換性のあるアプリがアクティブ化されると、マルウェアは攻撃者が制御するコマンドアンドコントロール (C2) サーバーと通信します。次に、被害者の画面に説得力のあるフィッシング オーバーレイを表示して、ログイン情報を取得します。ただし、コヨーテは潜在的な検出に対する巧みな回避戦術によって際立っています。
サイバーセキュリティ防御者によって簡単に検出できる Windows インストーラー (MSI) を利用する多くのバンキング型トロイの木馬とは異なり、Coyote は Squirrel を選択します。 Squirrel は、Windows デスクトップ アプリのインストールと更新のために設計された正規のオープンソース ツールです。 Coyote は、Squirrel を利用することで、悪意のある初期段階のローダーを偽装し、一見無害なアップデート パッケージャーとして見せかけます。
最終段階のローダーは、比較的珍しいプログラミング言語「Nim」でコーディングされており、独自性のレイヤーがさらに追加されています。これは、Nim を使用したバンキング型トロイの木馬が観察された最初の例の 1 つです。
従来、バンキング型トロイの木馬は主に、さまざまなマルウェア ファミリで広く使用されている古い言語である Delphi で書かれてきました。 Delphi マルウェアの検出方法は長年にわたって改善されてきたため、感染の効率は徐々に低下しました。 Nim の採用により、Coyote の開発者はより現代的なプログラミング言語を採用し、新しい機能を組み込み、セキュリティ ソフトウェアによる検出率の低下を実現しました。
バンキング型トロイの木馬が世界規模に拡大
近年、ブラジルはバンキング マルウェアの世界的な震源地として浮上しています。ブラジルで始まったにもかかわらず、これらの脅威的なプログラムは、海洋と大陸を横断する能力を実証しました。これらの脅威の背後にある熟練したオペレーターは、バンキング型トロイの木馬の開発に豊富な経験を持ち、攻撃を世界規模に拡大することに強い関心を示しています。その結果、研究者らは、オーストラリアやヨーロッパなど広範囲の組織や個人を標的としたブラジルの銀行トロイの木馬の例を観察しています。
注目に値する例の 1 つはGrandoreiroです。これは同様の特徴を持つトロイの木馬で、メキシコやスペインへの侵入に成功しただけでなく、それらの国境をはるかに超えて範囲を拡大しました。ピーク時には、この脅威は合計 41 か国に存在していました。
しかし、これらの作戦の成功は法執行機関からの厳しい監視を集めた。このようなマルウェアを促進するサイバーアンダーグラウンドエコシステムの破壊を目的とした注目すべき動きとして、ブラジル警察は、ブラジルの5つの州にわたって、Grandoreiroの責任者を対象に5件の一時逮捕状と13件の捜索差押状を執行した。
