Sessenta e uma instituições bancárias, todas originárias do Brasil, são o alvo de um novo trojan bancário chamado Coyote.
"Este malware utiliza o instalador Squirrel para distribuição, aproveitando-se do Node.js e de uma linguagem de programação multiplataforma relativamente nova chamada Nim como um carregador para completar sua infecção", disse a empresa russa de segurança cibernética Kaspersky em um relatório de Quinta-feira.
O que torna o Coyote uma raça diferente de outros trojans bancários de seu tipo é o uso do framework Squirrel de código aberto para instalação e atualização de aplicativos Windows.
Outra mudança notável é a mudança do Delphi - que é prevalente entre as famílias de malwares bancários que visam a América Latina - para linguagens de programação incomuns como Nim.
Na cadeia de ataques documentada pela Kaspersky, um executável instalador do Squirrel é usado como ponto de partida para um aplicativo Node.js compilado com Electron, que, por sua vez, executa um loader baseado em Nim para acionar a execução da payload maliciosa do Coyote por meio de carregamento lateral de DLL.
A biblioteca de vínculo dinâmico maliciosa, chamada "libcef.dll", é carregada lateralmente por meio de um executável legítimo chamado "obs-browser-page.exe", que também está incluído no projeto Node.js.
Vale ressaltar que a libcef.dll original faz parte do Chromium Embedded Framework (CEF).
Uma vez executado, o Coyote "monitora todos os aplicativos abertos no sistema da vítima e espera pelo acesso específico ao aplicativo bancário ou site", contactando posteriormente um servidor controlado pelo ator para buscar as próximas diretrizes.
Ele tem a capacidade de executar uma ampla gama de comandos para capturar telas, registrar teclas pressionadas, terminar processos, exibir sobreposições falsas, mover o cursor do mouse para um local específico e até desligar a máquina.
Ele também pode bloquear completamente a máquina com uma mensagem falsa de "Trabalhando em atualizações..." enquanto executa ações maliciosas em segundo plano.
"A adição de Nim como um carregador acrescenta complexidade ao design do trojan", disse a Kaspersky.
"Esta evolução destaca a crescente sofisticação na paisagem de ameaças e mostra como os atores de ameaças estão se adaptando e usando as últimas linguagens e ferramentas em suas campanhas maliciosas."
O desenvolvimento chega no momento em que as autoridades brasileiras de aplicação da lei desmantelaram a operação Grandoreiro e emitiram cinco mandados de prisão temporária e 13 de busca e apreensão para os mentores do malware em cinco estados brasileiros.
Isso também se segue à descoberta de um novo ladrão de informações baseado em Python que está relacionado aos arquitetos vietnamitas associados ao MrTonyScam e distribuído por meio de documentos do Microsoft Excel e Word armadilhados.
O ladrão "coleta cookies e dados de login dos navegadores [...] de uma ampla variedade de navegadores, desde os conhecidos como Chrome e Edge até navegadores focados no mercado local, como o navegador Cốc Cốc", disse Fortinet FortiGuard Labs em um relatório publicado nesta semana.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...