卡巴斯基全球研究与分析团队(GReAT)发现了一种新的复杂银行木马,该木马会窃取敏感的金融信息,并采用先进的策略来躲避检测。这种恶意软件被称为“Coyote”,它依靠Squirrel(松鼠)安装程序进行传播,其名称灵感来自于松鼠的天敌——土狼。
卡巴斯基的专家们发现了一种名为“Coyote”的新型高级网银木马,该木马采用先进的逃避策略来窃取敏感的金融信息。Coyote主要攻击巴西60多家银行机构的用户,它利用Squirrel安装程序进行传播——这种恶意软件传播手段很少见。卡巴斯基的研究人员已经调查并确定了 Coyote 的整个感染过程。
与使用众所周知的安装程序的常规方式不同,Coyote选择了一种相对较新的Squirrel工具来安装和更新Windows桌面应用程序。这样,Coyote通过假装是一个更新打包工具来隐藏其初始阶段的加载器。
让Coyote更具挑战性的是,它使用了现代的跨平台编程语言 Nim 作为感染过程最后阶段的加载程序。这与卡巴斯基观察到的趋势一致,即网络罪犯使用不太流行的跨平台语言,这表明他们对最新技术趋势的适应能力很强。
Coyote的运行过程包括一个执行复杂JavaScript代码的NodeJS应用程序,一个 Nim 加载器解压 .NET 可执行文件,最后执行一个木马程序。虽然Coyote没有使用代码混淆,但它使用了带有AES(高级加密标准)加密的字符串混淆,以获得额外的隐蔽性。该木马程序的目标与典型的银行木马程序行为一致:它会监视要访问的特定银行应用程序或网站。
一旦银行应用程序启动,Coyote通过SSL通道与其命令和控制服务器进行通信,并进行互相认证。该木马使用加密通信并能执行特定操作,如键盘记录和截图,这凸显了它的先进性。它甚至可以请求特定的银行卡密码,并设置一个伪造页面来获取用户凭据。
卡巴斯基的遥测数据显示,Coyote 大约 90% 的感染来自巴西,对该地区的金融网络安全造成了巨大影响。
“过去三年,网银木马攻击的数量几乎翻了一番,2023年达到了超过1800万次。这表明在线安全挑战正在上升。随着我们需要应对的网络威胁变得越来越多,对个人和企业来说保护他们的数字资产非常重要。Coyote是一种新型的巴西网银木马程序,它的兴起提醒我们要小心,并使用最新的防御措施来保护我们重要信息的安全,”卡巴斯基全球研究与分析团队(GReAT)拉丁美洲负责人Fabio Assolini评论说。
要阅读有关Coyote网银木马的完整报告,请访问Securelist.com.
为了防范金融威胁,卡巴斯基建议:
- 只安装从可靠来源获得的应用程序。
- 在确保权限与应用程序功能相匹配之前,不要授予应用程序所请求的权限。
- 不要打开意外收到的或看起来可疑的邮件中的链接或文档。
- 使用卡巴斯基高级版等可靠的安全解决方案,保护您和您的数字基础设施免受各种金融网络威胁的侵害。
要保护您的企业免受金融恶意软件的侵害,卡巴斯基安全专家建议:
- 为员工提供网络安全意识培训,特别是负责财会的员工,这些培训中包括如何识别钓鱼页面的说明。
- 提高员工的数字素养。
- 为重要用户配置“默认拒绝”策略,特别是财务部门的用户,以确保只能访问合法的网络资源。
- 为所有使用的软件安装最新更新和补丁。
