Eenenzestig bankinstellingen, allemaal afkomstig uit Brazilië, zijn het doelwit van een nieuwe banktrojan genaamd Coyote.
“Deze malware maakt gebruik van het Squirrel-installatieprogramma voor distributie, waarbij gebruik wordt gemaakt van Node.js en een relatief nieuwe multi-platform programmeertaal genaamd Nim als lader om de infectie te voltooien”, zei het Russische cyberbeveiligingsbedrijf Kaspersky in een rapport van donderdag.
Wat Coyote anders maakt dan andere banktrojans in zijn soort, is het gebruik van het open-source Squirrel-framework voor het installeren en bijwerken van Windows-apps. Een ander opmerkelijk verschil is de verschuiving van Delphi – dat veel voorkomt onder families van bankmalware die zich op Latijns-Amerika richten – naar een ongebruikelijke programmeertaal als Nim.
In de door Kaspersky gedocumenteerde aanvalsketen wordt een uitvoerbaar bestand van het Squirrel-installatieprogramma gebruikt als startpunt voor een Node.js-applicatie die is gecompileerd met Electron, die op zijn beurt een op Nim gebaseerde lader uitvoert om de uitvoering van de kwaadaardige Coyote-payload te activeren door middel van DLL-zijladen.
De kwaadaardige dynamische linkbibliotheek, genaamd “libcef.dll”, wordt side-loaded door middel van een legitiem uitvoerbaar bestand met de naam “obs-browser-page.exe”, dat ook is opgenomen in het Node.js-project. Het is vermeldenswaard dat de originele libcef.dll deel uitmaakt van het Chromium Embedded Framework (CEF).
Zodra Coyote is uitgevoerd, “bewaakt hij alle open applicaties op het systeem van het slachtoffer en wacht hij tot de specifieke bankapplicatie of website wordt geopend”, waarna hij contact opneemt met een door een acteur bestuurde server om de volgende fase-instructies op te halen.
Het heeft de mogelijkheid om een breed scala aan opdrachten uit te voeren om schermafbeeldingen te maken, toetsaanslagen te loggen, processen te beëindigen, nep-overlays weer te geven, de muiscursor naar een specifieke locatie te verplaatsen en zelfs de machine uit te schakelen. Het kan de machine ook volledig blokkeren met een vals bericht “Werkt aan updates…” terwijl kwaadaardige acties op de achtergrond worden uitgevoerd.
“De toevoeging van Nim als lader voegt complexiteit toe aan het ontwerp van de trojan”, aldus Kaspersky. “Deze evolutie benadrukt de toenemende verfijning binnen het dreigingslandschap en laat zien hoe bedreigingsactoren zich aanpassen en de nieuwste talen en hulpmiddelen gebruiken in hun kwaadaardige campagnes.”
De ontwikkeling komt op het moment dat de Braziliaanse wetshandhavingsautoriteiten de Grandoreiro-operatie hebben ontmanteld en vijf tijdelijke arrestatiebevelen en dertien huiszoekingsbevelen hebben uitgevaardigd tegen de meesterbreinen achter de malware in vijf Braziliaanse staten.
Het volgt ook de ontdekking van een nieuwe op Python gebaseerde informatiedief die verwant is aan de Vietnamese architecten die geassocieerd zijn met MrTonyScam en die wordt verspreid via Microsoft Excel- en Word-documenten met boobytraps.
De stealer “verzamelt browsercookies en inloggegevens […] van een breed scala aan browsers, van bekende browsers zoals Chrome en Edge tot browsers gericht op de lokale markt, zoals de Cốc Cốc-browser”, aldus Fortinet FortiGuard Labs in een rapport dat deze week is gepubliceerd.
