Un nuovo trojan bancario denominato Coyote sta prendendo di mira 61 istituzioni bancarie brasiliane. Questo malware utilizza l’installer Squirrel per la distribuzione, avvalendosi di Node.js e di un linguaggio di programmazione multi-piattaforma relativamente nuovo chiamato Nim come loader per completare l’infezione.
Caratteristiche Distintive di Coyote
Coyote si distingue dagli altri trojan bancari per l’utilizzo del framework open source Squirrel per l’installazione e l’aggiornamento delle app Windows. Un’altra notevole differenza è il passaggio dal linguaggio Delphi, prevalente tra le famiglie di malware bancario che prendono di mira l’America Latina, a linguaggi di programmazione non comuni come Nim.
Catena di Attacco e Funzionalità
Nella catena di attacco documentata da Kaspersky, un eseguibile dell’installer Squirrel viene utilizzato come punto di lancio per un’applicazione Node.js compilata con Electron, che a sua volta esegue un loader basato su Nim per innescare l’esecuzione del payload maligno di Coyote tramite DLL side-loading.
Una volta eseguito, Coyote “monitora tutte le applicazioni aperte sul sistema della vittima e attende che venga accessa una specifica applicazione bancaria o un sito web”, per poi contattare un server controllato dall’attore della minaccia per ricevere le direttive della fase successiva.
Coyote ha la capacità di eseguire una vasta gamma di comandi per catturare screenshot, registrare battiture, terminare processi, visualizzare falsi overlay, muovere il cursore del mouse in una posizione specifica e persino spegnere la macchina. Può anche bloccare completamente il dispositivo con un falso messaggio “Working on updates…” mentre esegue azioni malevoli in background.
L’aggiunta di Nim come loader aggiunge complessità alla progettazione del trojan, evidenziando l’aumento della sofisticazione nel panorama delle minacce e mostrando come gli attori delle minacce si stiano adattando e utilizzando gli ultimi linguaggi e strumenti nelle loro campagne malevoli.
Questa evoluzione arriva mentre le autorità giudiziarie brasiliane hanno smantellato l’operazione Grandoreiro e emesso cinque mandati di arresto temporanei e 13 mandati di perquisizione e sequestro per i cervelli dietro il malware in cinque stati brasiliani.