Novo Trojan Coyote ataca 61 bancos brasileiros com ataque potencializado por Nim
9 de Fevereiro de 2024

Sessenta e uma instituições bancárias, todas originárias do Brasil, são o alvo de um novo trojan bancário chamado Coyote.

"Este malware utiliza o instalador Squirrel para distribuição, aproveitando-se do Node.js e de uma linguagem de programação multiplataforma relativamente nova chamada Nim como um carregador para completar sua infecção", disse a empresa russa de segurança cibernética Kaspersky em um relatório de Quinta-feira.

O que torna o Coyote uma raça diferente de outros trojans bancários de seu tipo é o uso do framework Squirrel de código aberto para instalação e atualização de aplicativos Windows.

Outra mudança notável é a mudança do Delphi - que é prevalente entre as famílias de malwares bancários que visam a América Latina - para linguagens de programação incomuns como Nim.

Na cadeia de ataques documentada pela Kaspersky, um executável instalador do Squirrel é usado como ponto de partida para um aplicativo Node.js compilado com Electron, que, por sua vez, executa um loader baseado em Nim para acionar a execução da payload maliciosa do Coyote por meio de carregamento lateral de DLL.

A biblioteca de vínculo dinâmico maliciosa, chamada "libcef.dll", é carregada lateralmente por meio de um executável legítimo chamado "obs-browser-page.exe", que também está incluído no projeto Node.js.

Vale ressaltar que a libcef.dll original faz parte do Chromium Embedded Framework (CEF).

Uma vez executado, o Coyote "monitora todos os aplicativos abertos no sistema da vítima e espera pelo acesso específico ao aplicativo bancário ou site", contactando posteriormente um servidor controlado pelo ator para buscar as próximas diretrizes.

Ele tem a capacidade de executar uma ampla gama de comandos para capturar telas, registrar teclas pressionadas, terminar processos, exibir sobreposições falsas, mover o cursor do mouse para um local específico e até desligar a máquina.

Ele também pode bloquear completamente a máquina com uma mensagem falsa de "Trabalhando em atualizações..." enquanto executa ações maliciosas em segundo plano.

"A adição de Nim como um carregador acrescenta complexidade ao design do trojan", disse a Kaspersky.

"Esta evolução destaca a crescente sofisticação na paisagem de ameaças e mostra como os atores de ameaças estão se adaptando e usando as últimas linguagens e ferramentas em suas campanhas maliciosas."

O desenvolvimento chega no momento em que as autoridades brasileiras de aplicação da lei desmantelaram a operação Grandoreiro e emitiram cinco mandados de prisão temporária e 13 de busca e apreensão para os mentores do malware em cinco estados brasileiros.

Isso também se segue à descoberta de um novo ladrão de informações baseado em Python que está relacionado aos arquitetos vietnamitas associados ao MrTonyScam e distribuído por meio de documentos do Microsoft Excel e Word armadilhados.

O ladrão "coleta cookies e dados de login dos navegadores [...] de uma ampla variedade de navegadores, desde os conhecidos como Chrome e Edge até navegadores focados no mercado local, como o navegador Cốc Cốc", disse Fortinet FortiGuard Labs em um relatório publicado nesta semana.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...