Prendendo di mira principalmente gli utenti affiliati a più di 60 istituti bancari in Brasile, il nuovo trojan Coyote sfrutta il programma di installazione Squirrel per la sua distribuzione, un metodo raramente utilizzato per la distribuzione di malware. I ricercatori di Kaspersky ne hanno studiato e identificato l’intero processo di infezione. Sono loro ad averlo scoperto e battazzato “Coyote”, identificandolo come un nuovo e sofisticato trojan bancario che utilizza tattiche di frode avanzate per rubare informazioni finanziarie sensibili.
La tattica di Coyote
Invece di seguire il solito percorso con i noti programmi di installazione, Coyote ha scelto Squirrel, uno strumento relativamente nuovo per installare e aggiornare le applicazioni desktop di Windows. In questo modo, Coyote nasconde il suo loader nella fase iniziale fingendo di essere solo un pacchetto di aggiornamenti.
A rendere Coyote ancora più complesso è l’utilizzo di Nim, un moderno linguaggio di programmazione multipiattaforma, come loader per la fase finale del processo di infezione. Questo è in linea con una tendenza osservata da Kaspersky, in cui i criminali informatici utilizzano linguaggi meno popolari e multipiattaforma, dimostrando la loro adattabilità alle ultime tendenze tecnologiche.
Il viaggio di Coyote coinvolge un’applicazione NodeJS che esegue codice JavaScript malevolo, un loader Nim che decomprime un file eseguibile .NET e infine l’esecuzione di un Trojan. Mentre Coyote evita di mascherare il codice, utilizza il sistema di offuscamento delle stringhe con la crittografia AES (Advanced Encryption Standard) per una maggiore segretezza. L’obiettivo del Trojan corrisponde al comportamento tipico dei Trojan bancari: controlla che sia possibile accedere a un’applicazione bancaria o a un sito web specifico.
Una volta che le applicazioni bancarie sono attive, Coyote comunica con il suo server di comando e controllo utilizzando canali SSL con autenticazione reciproca. L’uso di comunicazioni criptate e la capacità di eseguire azioni specifiche, come il keylogging e gli screenshot, evidenziano la natura avanzata del trojan. Riesce addirittura a chiedere specifiche password di carte bancarie e a creare una pagina falsa per acquisire le credenziali dell’utente.
I dati di telemetria di Kaspersky mostrano che circa il 90% delle infezioni di Coyote proviene dal Brasile, con un forte impatto sulla sicurezza informatica finanziaria del Paese.
“Negli ultimi tre anni, il numero di attacchi di Trojan bancari è quasi raddoppiato, arrivando a superare i 18 milioni nel 2023. Questo dimostra che le sfide alla sicurezza online sono in aumento. Per far fronte al crescente numero di minacce informatiche, è fondamentale che utenti e aziende proteggano i propri beni digitali. La diffusione di Coyote, un nuovo tipo di Trojan bancario brasiliano, ci ricorda di fare attenzione e di utilizzare le difese più recenti per mantenere al sicuro le nostre informazioni importanti”, ha commentato Fabio Assolini, Head of the Latin American Global Research and Analysis Team (GReAT) di Kaspersky.
Per proteggersi dalle minacce finanziarie
Kaspersky consiglia di:
- Installare solo applicazioni provenienti da fonti affidabili.
- Non autorizzare privilegi o permessi richiesti dalle applicazioni senza prima accertarsi che corrispondano alle funzionalità dell’applicazione.
- Non aprire mai link o documenti contenuti in messaggi sconosciuti o dall’aspetto sospetto. Usare una soluzione di sicurezza affidabile, come Kaspersky Premium, che protegge l’infrastruttura digitale da un’ampia gamma di minacce informatiche finanziare.
Per proteggere l’azienda dalle minacce informatiche finanziarie
Gli esperti di Kaspersky consigliano di
- Fornire una formazione sulla cybersicurezza, in particolare ai dipendenti responsabili della contabilità, che includa istruzioni su come individuare le pagine di phishing.
- Migliorare l’alfabetizzazione digitale del personale.
- Abilitare una policy di Default Deny per i profili degli utenti critici, in particolare quelli dei reparti finanziari, che garantisca l’accesso alle sole risorse web legittime.
- Installare gli ultimi aggiornamenti e patch per tutti i software utilizzati.
- Per scaricare gratuitamente i white paper che aiutano a proteggere i propri Endpoint nel Cloud, basta premere sul (link).
