Windows-троян Coyote нацелился на 60+ банковских приложений

Windows-троян Coyote нацелился на 60+ банковских приложений

Windows-троян Coyote нацелился на 60+ банковских приложений

Анализ нового банковского трояна, проведенный в «Лаборатории Касперского», показал, что список целей Coyote включает более 60 приложений. Цепочка заражения использует непривычные элементы: установщик Squirrel, NodeJS-скрипт, загрузчик на Nim.

Как и многие собратья, новобранец мониторит запуск программ на зараженной машине. Когда жертва открывает интересующее Coyote приложение или заходит на определенный сайт, банкер сообщает об этом оператору и в ответ получает инструкции.

Судя по списку команд, вредонос умеет регистрировать клавиатурный ввод, делать скриншоты, пользоваться оверлеями, перемещать курсор в указанную точку, а также прибивать процессы и выключать компьютер. Обмен с C2-сервером осуществляется по SSL-каналам, с обоюдной верификацией; для этого Coyote придан сертификат.

Строки кода зловреда зашифрованы по AES, никакой другой обфускации не используется. От обнаружения его призвана уберечь многоступенчатая схема заражения. Вместо привычного MSI используется opensource-инсталлятор Squirrel; с его помощью Coyote прячет начальный загрузчик, выдавая его за апдейтер.

При запуске лоадера второй ступени (приложение NodeJS) отрабатывает сценарий, который переносит исполняемые файлы из /temp в папку клипов, сохраненных жертвой (captures в коллекции видео), и запускает один из них — легитимное приложение, необходимое для загрузки вредоносного кода в память по методу DLL sideloading.

Финальный лоадер написан на Nim, что пока редкость в мире вредоносов и потому пока исправно помогает им обходить антивирусы. Главной задачей этого загрузчика является распаковка NET-экзешника и запуск его в памяти своего процесса.

 

Почти 90% случаев заражения Coyote зафиксированы на территории Бразилии, однако практика показывает, что зловреды, нацеленные на местный онлайн-банкинг, после обкатки могут использоваться и за пределами страны.

Достаточно вспомнить печально известного Grandoreiro, который долго не давал покоя бразильцам, а затем отправился на гастроли в Мексику, Испанию и десятка три других стран. В итоге им заинтересовались правоохранительные органы: недавно в Бразилии с инициативы Интерпола и властей Испании было проведено пять арестов и 13 обысков в связи с массовым хищением денег с помощью успешного трояна.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мессенджере MAX появился цифровой ID

Новая функция позволяет пользователям подтвердить свой возраст и социальный статус в цифровом формате. Подключить её могут все владельцы мессенджера старше 18 лет. Сервис ориентирован на ситуации, где требуется быстрая и удобная верификация без предъявления бумажных документов.

Для создания цифрового ID необходимо пройти подтверждение личности через Единую биометрическую систему. Это можно сделать уже на этапе регистрации, используя заграничный паспорт нового образца.

Цифровой ID пригодится для подтверждения возраста при совершении покупок, требующих соответствующей проверки, а также для подтверждения социального статуса, дающего право на льготы, например, статуса студента или многодетного родителя. Кроме того, сервис можно использовать как пропуск в учебное заведение.

Подтверждение возраста или статуса осуществляется с помощью QR-кода, сформированного на основе данных из Госуслуг. При этом доступ к другим персональным данным исключён. Использование сервиса посторонними невозможно: для подтверждения требуется биометрия, а сам QR-код регулярно обновляется. Цифровой ID также позволяет просматривать реквизиты любых документов, включая паспорт, СНИЛС и ИНН.

Пока сервис работает в тестовом режиме. Первой к нему подключилась розничная сеть «Магнит», в дальнейшем список участников будет расширяться.

Введение цифрового ID не отменяет бумажные документы. Они сохраняют юридическую силу и продолжат использоваться, а цифровой формат станет лишь дополнительным инструментом для подтверждения личности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru