СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
31.01.2025
#ИБ#Инфра

Троян Coyote: Многоэтапная угроза финансовой безопасности

Троян Coyote: Многоэтапная угроза финансовой безопасности

Компания FortiGuard Labs выявила новый тип вредоносного ПО, представляющий собой банковский троян Coyote, который в первую очередь нацелен на пользователей в Бразилии. Вредоносная программа внедряется через серию файлов LNK, содержащих команды PowerShell, что делает процесс заражения многоэтапным и сложным.

Механизм работы трояна Coyote

Источник заражения представляет собой исходный файл LNK, в котором выполняется код PowerShell, подключающийся к удаленному серверу для перехода к следующему этапу. Вредоносное ПО предназначено для кражи конфиденциальной информации из финансовых приложений и веб-сайтов.

Основные функции трояна включают:

  • Кейлоггинг;
  • Захват экрана;
  • Фишинг учетных данных.

Структура и функциональность

Скрипт на удаленном сервере содержит закодированные сегменты данных, которые декодируются определенными командами для запуска последующих вредоносных операций. DLL-файл с именем bmwiMcDec функционирует как загрузчик, вводя полезную нагрузку с именем npuGDec с помощью VirtualAllocEx и WriteProcessMemory, выполняя ее через CreateRemoteThread.

Внедренный код использует Donut для расшифровки и выполнения конечных полезных данных MSIL, что обеспечивает бесперебойность следующих этапов. Расшифрованный файл MSIL может изменять реестр и создавать новую командную строку PowerShell для загрузки и выполнения URL-адреса в кодировке Base64, связанного с функциями троянской программы Coyote.

Целевые действия и последующая угроза

Основной URL-адрес вредоносной программы — hxxps://yezh.geontrigame.com/vxewhcacbfqnsw, который запускается с помощью CreateProcess. Более крупная полезная нагрузка vxewhcacbfqnsw представляет собой банковский троян Coyote, загружаемый после начального доступа через файл LNK.

Содержимое MSIL включает функции, такие как:

  • Проверка имен пользователей;
  • Мониторинг активных окон;
  • Связь с серверами C2 через порт 443.

При доступе к целевым сайтам активируется механизм отправки декодированных данных на сервер C2, что инициирует дальнейшие действия на основе определенных критериев.

Выводы и рекомендации

Процесс заражения банковским трояном Coyote демонстрирует серьезные риски для финансовой безопасности. Сложная многоэтапная структура сопровождается способностью заражать дополнительные файлы, что подчеркивает необходимость надежных мер безопасности как для частных лиц, так и для организаций против растущих угроз со стороны хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: