Cheval de Troie bancaire Coyote
Des chercheurs ont récemment découvert un cheval de Troie bancaire unique nommé « Coyote », conçu pour récolter les informations d'identification de 61 applications bancaires en ligne. Ce qui distingue la menace Coyote, c’est son ciblage étendu des applications du secteur bancaire, dont la majorité est concentrée au Brésil. Ce cheval de Troie se distingue par sa combinaison complexe de composants de base et avancés. Plus précisément, il utilise un programme d'installation open source relativement nouveau appelé Squirrel, s'appuie sur NodeJs, utilise le langage de programmation moins courant « Nim » et propose plus d'une douzaine de fonctionnalités nuisibles. Cette découverte représente une avancée notable sur le marché florissant des logiciels malveillants financiers au Brésil, posant potentiellement des défis importants aux équipes de sécurité si son champ d'action s'étendait davantage.
Table des matières
Les cybercriminels brésiliens se concentrent sur les menaces des chevaux de Troie bancaires
Les développeurs de logiciels malveillants brésiliens créent activement des chevaux de Troie bancaires depuis plus de deux décennies, depuis au moins 2000. Au cours de 24 années de développement continu, au cours desquelles ils ont su naviguer et surmonter l'évolution des méthodes d'authentification et des technologies de protection, leur créativité est évidente, comme en témoigne l'émergence du dernier cheval de Troie.
Alors que les experts soulignent actuellement Coyote comme une menace principalement axée sur les consommateurs brésiliens, les organisations ont des raisons impérieuses de surveiller de près ses capacités potentielles. Les tendances passées indiquent que les familles de logiciels malveillants qui réussissent sur le marché brésilien étendent souvent leur portée à l'échelle internationale. Par conséquent, les entreprises et les banques doivent être vigilantes et prêtes à faire face à Coyote si son impact s’élargit.
Une autre considération cruciale pour les équipes de sécurité réside dans la progression historique des chevaux de Troie bancaires évoluant vers des chevaux de Troie à accès initial et des portes dérobées à part entière. Les exemples notables incluent les transformations d'Emotet et de Trickbot et, plus récemment, de QakBot et d'Ursinif. Cette tendance souligne l’importance de prêter attention à l’émergence de nouveaux chevaux de Troie bancaires, car ils pourraient potentiellement évoluer vers des menaces plus sophistiquées.
Le cheval de Troie bancaire Coyote est équipé d'un plongeur doté de capacités nuisibles
Coyote présente une gamme améliorée de fonctionnalités, lui permettant d'exécuter diverses commandes telles que la capture de captures d'écran, l'enregistrement des frappes au clavier, la fin des processus, l'arrêt de la machine et la manipulation du curseur. Notamment, il peut également provoquer un gel de la machine en superposant un écran trompeur « Travail sur les mises à jour… ».
Dans son comportement général, Coyote adhère au modèle typique d'un cheval de Troie bancaire moderne. Lors de l'activation d'une application compatible sur un système infecté, le malware communique avec un serveur de commande et de contrôle (C2) contrôlé par un attaquant. Il présente ensuite une superposition de phishing convaincante sur l'écran de la victime pour capturer les informations de connexion. Cependant, Coyote se distingue par ses tactiques d'évasion habiles contre les détections potentielles.
Contrairement à de nombreux chevaux de Troie bancaires qui utilisent Windows Installers (MSI), facilement détectables par les défenseurs de la cybersécurité, Coyote opte pour Squirrel. Squirrel est un outil open source légitime conçu pour installer et mettre à jour les applications de bureau Windows. En exploitant Squirrel, Coyote s'efforce de camoufler son chargeur de phase initial malveillant, le présentant comme un package de mise à jour apparemment inoffensif.
Le chargeur de scène final ajoute une autre couche d'unicité, étant codé dans le langage de programmation relativement rare « Nim ». Il s’agit de l’un des premiers cas où un cheval de Troie bancaire utilisant Nim a été observé.
Traditionnellement, les chevaux de Troie bancaires étaient principalement écrits en Delphi, un langage plus ancien largement utilisé dans diverses familles de logiciels malveillants. À mesure que les méthodes de détection des logiciels malveillants Delphi se sont améliorées au fil des années, l'efficacité des infections a progressivement diminué. Avec l'adoption de Nim, les développeurs de Coyote adoptent un langage de programmation plus moderne, intégrant de nouvelles fonctionnalités et obtenant un taux de détection plus faible par les logiciels de sécurité.
Les chevaux de Troie bancaires se sont propagés pour devenir une opération mondiale
Ces dernières années, le Brésil est devenu l’épicentre mondial des logiciels malveillants bancaires. Bien qu’ils soient originaires du Brésil, ces programmes menaçants ont démontré leur capacité à traverser les océans et les continents. Les opérateurs à l'origine de ces menaces possèdent une vaste expérience dans le développement de chevaux de Troie bancaires et manifestent un vif intérêt pour l'extension de leurs attaques à l'échelle mondiale. Par conséquent, les chercheurs ont observé des cas de chevaux de Troie bancaires brésiliens ciblant des entités et des individus aussi loin que l’Australie et l’Europe.
Un exemple remarquable est Grandoreiro , un cheval de Troie présentant des caractéristiques similaires qui a réussi à s'infiltrer non seulement au Mexique et en Espagne, mais qui a également étendu sa portée bien au-delà de ces frontières. À son apogée, cette menace était présente dans 41 pays au total.
Cependant, le succès de ces opérations a suscité une surveillance accrue de la part des forces de l’ordre. Dans le cadre d'une initiative notable visant à perturber l'écosystème cyber-souterrain facilitant ces logiciels malveillants, la police brésilienne a exécuté cinq mandats d'arrêt temporaires et 13 mandats de perquisition et de saisie visant les individus responsables de Grandoreiro dans cinq États du Brésil.
