Brazilští uživatelé Windows jsou cílem kampaně, která šíří bankovní malware známý jako Coyote. „Jakmile je nasazen, Coyote Banking Trojan může provádět různé škodlivé aktivity, včetně zaznamenávání stisků kláves, pořizování snímků obrazovky a zobrazování phishingových překryvů za účelem krádeže citlivých přihlašovacích údajů,“ uvedla expertka Cara Lin z Fortinet FortiGuard Labs v analýze zveřejněné minulý týden.

Kyberbezpečnostní společnost uvedla, že během posledního měsíce objevila několik artefaktů souborů Windows Shortcut (LNK), které obsahují příkazy PowerShell zodpovědné za doručení malwaru.

Coyote byl poprvé zdokumentován společností Kaspersky na začátku roku 2024, kdy byly popsány jeho útoky zaměřené na uživatele v jihoamerickém regionu. Malware je schopen získávat citlivé informace z více než 70 finančních aplikací.

V předchozích útocích, který zdokumentovala ruská kyberbezpečnostní firma, byl použit spustitelný instalační program Squirrel k aktivaci aplikace Node.js zkompilované pomocí Electronu, která následně spouští loader založený na jazyce Nim, jenž spouští škodlivý payload Coyote.

Nejnovější infekční sekvence však začíná souborem LNK, který spouští příkaz PowerShell pro stažení další fáze z vzdáleného serveru („tbet.geontrigame[.]com“), což je další skript PowerShell, který spouští loader zodpovědný za spuštění mezistupňového payloadu.

„Vstřikovaný kód využívá Donut, nástroj navržený k dešifrování a spuštění finálních MSIL (Microsoft Intermediate Language) payloadů,“ uvedla Lin. „Dešifrovaný MSIL spustitelný soubor nejprve zajišťuje perzistenci úpravou registru na adrese ‚HCKUSoftwareMicrosoftWindowsCurrentVersionRun. Pokud je nalezen, odstraní stávající záznam a vytvoří nový s náhodně generovaným názvem. Tento nový záznam v registru obsahuje přizpůsobený příkaz PowerShell, který odkazuje na stažení a spuštění Base64-kódované URL, což umožňuje hlavní funkce bankovního trojanu Coyote.“

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS