Sáu mươi mốt tổ chức ngân hàng, tất cả đều có nguồn gốc từ Brazil, là mục tiêu của một trojan ngân hàng mới có tên Coyote.
"Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng Node.js và một ngôn ngữ lập trình đa nền tảng tương đối mới được gọi là Nim như một trình tải để hoàn thành việc lây nhiễm của nó", công ty an ninh mạng Kaspersky của Nga cho biết trong một báo cáo hôm thứ Năm.
Điều làm cho Coyote trở thành một giống khác với các trojan ngân hàng khác cùng loại là việc sử dụng khung Squirrel mã nguồn mở để cài đặt và cập nhật các ứng dụng Windows. Một sự khởi đầu đáng chú ý khác là sự thay đổi từ Delphi - vốn phổ biến trong các gia đình phần mềm độc hại ngân hàng nhắm mục tiêu vào Mỹ Latinh - sang một ngôn ngữ lập trình không phổ biến như Nim.
Trong chuỗi tấn công được Kaspersky ghi lại, tệp thực thi trình cài đặt Squirrel được sử dụng làm bệ phóng cho một ứng dụng Node.js được biên dịch bằng Electron, do đó, chạy trình tải dựa trên Nim để kích hoạt thực thi tải trọng Coyote độc hại bằng phương tiện tải bên DLL.
Thư viện liên kết động độc hại, được đặt tên là "libcef.dll", được tải bên cạnh bởi một tệp thực thi hợp pháp có tên là "obs-browser-page.exe", cũng được bao gồm trong dự án Node.js. Cần lưu ý rằng libcef.dll gốc là một phần của Chromium Embedded Framework (CEF).
Coyote, sau khi bị xử tử, "giám sát tất cả các ứng dụng đang mở trên hệ thống của nạn nhân và chờ ứng dụng hoặc trang web ngân hàng cụ thể được truy cập", sau đó liên hệ với một máy chủ do tác nhân điều khiển để lấy các chỉ thị giai đoạn tiếp theo.
Nó có khả năng thực hiện một loạt các lệnh để chụp ảnh màn hình, đăng nhập tổ hợp phím, chấm dứt quy trình, hiển thị lớp phủ giả, di chuyển con trỏ chuột đến một vị trí cụ thể và thậm chí tắt máy. Nó cũng có thể chặn hoàn toàn máy với một giả mạo "Làm việc trên các bản cập nhật..." nhắn tin trong khi thực hiện các hành động độc hại trong nền.
"Việc bổ sung Nim làm loader làm tăng thêm sự phức tạp cho thiết kế của trojan", Kaspersky cho biết. "Sự phát triển này làm nổi bật sự tinh vi ngày càng tăng trong bối cảnh mối đe dọa và cho thấy các tác nhân đe dọa đang thích nghi và sử dụng các ngôn ngữ và công cụ mới nhất trong các chiến dịch độc hại của họ như thế nào."
Sự phát triển này diễn ra khi các cơ quan thực thi pháp luật Brazil tháo dỡ hoạt động của Grandoreiro và ban hành năm lệnh bắt giữ tạm thời và 13 lệnh khám xét và bắt giữ đối với những kẻ chủ mưu đằng sau phần mềm độc hại trên khắp năm bang của Brazil.
Nó cũng theo sau việc phát hiện ra một kẻ đánh cắp thông tin dựa trên Python mới có liên quan đến các kiến trúc sư Việt Nam liên quan đến MrTonyScam và được phân phối thông qua các tài liệu Microsoft Excel và Word.
Kẻ đánh cắp "thu thập cookie và dữ liệu đăng nhập của trình duyệt [...] từ một loạt các trình duyệt, từ các trình duyệt quen thuộc như Chrome và Edge đến các trình duyệt tập trung vào thị trường địa phương, như trình duyệt Cốc Cốc", Fortinet FortiGuard Labs cho biết trong một báo cáo được công bố trong tuần này.