Yeni Coyote Truva Atı, Nim Destekli Saldırı ile 61 Brezilya Bankasını Hedef Aldı
Hepsi Brezilya menşeli altmış bir bankacılık kurumu, Coyote adlı yeni bir bankacılık truva atının hedefidir.
Rus siber güvenlik firması Kaspersky, Perşembe günü yayınladığı bir raporda, "Bu kötü amaçlı yazılım, dağıtım için Squirrel yükleyicisini kullanıyor, Node.js ve Nim adlı nispeten yeni bir çok platformlu programlama dilinden enfeksiyonunu tamamlamak için bir yükleyici olarak yararlanıyor" dedi.
Coyote'u kendi türündeki diğer bankacılık truva atlarından farklı bir cins yapan şey, Windows uygulamalarını yüklemek ve güncellemek için açık kaynaklı Squirrel çerçevesinin kullanılmasıdır. Dikkate değer bir diğer ayrılış, Latin Amerika'yı hedefleyen bankacılık kötü amaçlı yazılım aileleri arasında yaygın olan Delphi'den Nim gibi nadir bir programlama diline geçiştir.
Kaspersky tarafından belgelenen saldırı zincirinde, bir Squirrel yükleyici yürütülebilir dosyası, Electron ile derlenen bir Node.js uygulaması için başlatma rampası olarak kullanılıyor ve bu da DLL yandan yükleme yoluyla kötü amaçlı Coyote yükünün yürütülmesini tetiklemek için Nim tabanlı bir yükleyici çalıştırıyor.
"libcef.dll" adlı kötü amaçlı dinamik bağlantı kitaplığı, Node.js projesine de dahil olan "obs-browser-page.exe" adlı meşru bir yürütülebilir dosya aracılığıyla yandan yüklenir. Orijinal libcef.dll Chromium Embedded Framework'ün (CEF) bir parçası olduğunu belirtmekte fayda var.
Coyote, bir kez yürütüldüğünde, "kurbanın sistemindeki tüm açık uygulamaları izler ve belirli bankacılık uygulamasına veya web sitesine erişilmesini bekler", ardından bir sonraki aşama direktiflerini almak için aktör tarafından kontrol edilen bir sunucuyla iletişime geçer.
Ekran görüntüsü almak, tuş vuruşlarını günlüğe kaydetmek, işlemleri sonlandırmak, sahte bindirmeleri görüntülemek, fare imlecini belirli bir konuma taşımak ve hatta makineyi kapatmak için çok çeşitli komutları yürütme yeteneğine sahiptir. Ayrıca, sahte bir "Güncellemeler üzerinde çalışıyor..." arka planda kötü amaçlı eylemler yürütürken mesaj.
Kaspersky, "Nim'in yükleyici olarak eklenmesi, truva atının tasarımına karmaşıklık katıyor" dedi. "Bu evrim, tehdit ortamındaki artan karmaşıklığı vurguluyor ve tehdit aktörlerinin kötü niyetli kampanyalarında en son dilleri ve araçları nasıl uyarladığını ve kullandığını gösteriyor."
Gelişme, Brezilya kolluk kuvvetlerinin Grandoreiro operasyonunu ortadan kaldırması ve beş Brezilya eyaletinde kötü amaçlı yazılımın arkasındaki beyinler için beş geçici tutuklama emri ve 13 arama ve el koyma emri çıkarmasıyla geldi.
Ayrıca, MrTonyScam ile ilişkili Vietnamlı mimarlarla ilgili olan ve bubi tuzaklı Microsoft Excel ve Word belgeleri aracılığıyla dağıtılan Python tabanlı yeni bir bilgi hırsızının keşfini de takip ediyor.
Hırsız "tarayıcıların çerezlerini ve oturum açma verilerini toplar [...] Chrome ve Edge gibi tanıdık tarayıcılardan Cốc Cốc tarayıcısı gibi yerel pazara odaklanan tarayıcılara kadar çok çeşitli tarayıcılardan, "dedi Fortinet FortiGuard Labs bu hafta yayınlanan bir raporda.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı