Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto un nuovo e sofisticato Trojan bancario che ruba informazioni finanziarie sensibili, utilizzando tattiche avanzate per evitare il rilevamento.
Autore: Redazione BitCity
Pubblicato il: 09/02/2024
Gli esperti di Kaspersky hanno scoperto “Coyote”, un nuovo e sofisticato trojan bancario che utilizza tattiche di frode avanzate per rubare informazioni finanziarie sensibili. Prendendo di mira principalmente gli utenti affiliati a più di 60 istituti bancari in Brasile, Coyote sfrutta il programma di installazione Squirrel per la sua distribuzione, un metodo raramente utilizzato per la distribuzione di malware. I ricercatori di Kaspersky hanno studiato e identificato l’intero processo di infezione di Coyote.
Invece di seguire il solito percorso con i noti programmi di installazione, Coyote ha scelto Squirrel, uno strumento relativamente nuovo per installare e aggiornare le applicazioni desktop di Windows. In questo modo, Coyote nasconde il suo loader nella fase iniziale fingendo di essere solo un pacchetto di aggiornamenti.
A rendere Coyote ancora più complesso è l’utilizzo di Nim, un moderno linguaggio di programmazione multipiattaforma, come loader per la fase finale del processo di infezione. Questo è in linea con una tendenza osservata da Kaspersky, in cui i criminali informatici utilizzano linguaggi meno popolari e multipiattaforma, dimostrando la loro adattabilità alle ultime tendenze tecnologiche.
Il viaggio di Coyote coinvolge un’applicazione NodeJS che esegue codice JavaScript malevolo, un loader Nim che decomprime un file eseguibile .NET e infine l’esecuzione di un Trojan. Mentre Coyote evita di mascherare il codice, utilizza il sistema di offuscamento delle stringhe con la crittografia AES (Advanced Encryption Standard) per una maggiore segretezza. L’obiettivo del Trojan corrisponde al comportamento tipico dei Trojan bancari: controlla che sia possibile accedere a un’applicazione bancaria o a un sito web specifico.
Una volta che le applicazioni bancarie sono attive, Coyote comunica con il suo server di comando e controllo utilizzando canali SSL con autenticazione reciproca. L’uso di comunicazioni criptate e la capacità di eseguire azioni specifiche, come il keylogging e gli screenshot, evidenziano la natura avanzata del trojan. Riesce addirittura a chiedere specifiche password di carte bancarie e a creare una pagina falsa per acquisire le credenziali dell’utente.
I dati di telemetria di Kaspersky mostrano che circa il 90% delle infezioni di Coyote proviene dal Brasile, con un forte impatto sulla sicurezza informatica finanziaria del Paese.
“Negli ultimi tre anni, il numero di attacchi di Trojan bancari è quasi raddoppiato, arrivando a superare i 18 milioni nel 2023. Questo dimostra che le sfide alla sicurezza online sono in aumento. Per far fronte al crescente numero di minacce informatiche, è fondamentale che utenti e aziende proteggano i propri beni digitali. La diffusione di Coyote, un nuovo tipo di Trojan bancario brasiliano, ci ricorda di fare attenzione e di utilizzare le difese più recenti per mantenere al sicuro le nostre informazioni importanti”, ha commentato Fabio Assolini, Head of the Latin American Global Research and Analysis Team (GReAT) di Kaspersky.