Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Троян Coyote: Многоэтапная угроза финансовой безопасности

23
2 мин
Компания FortiGuard Labs выявила новый тип вредоносного ПО, представляющий собой банковский троян Coyote, который в первую очередь нацелен на пользователей в Бразилии. Вредоносная программа внедряется через серию файлов LNK, содержащих команды PowerShell, что делает процесс заражения многоэтапным и сложным. Источник заражения представляет собой исходный файл LNK, в котором выполняется код PowerShell, подключающийся к удаленному серверу для перехода к следующему этапу. Вредоносное ПО предназначено для кражи конфиденциальной информации из финансовых приложений и веб-сайтов. Основные функции трояна включают: Скрипт на удаленном сервере содержит закодированные сегменты данных, которые декодируются определенными командами для запуска последующих вредоносных операций. DLL-файл с именем bmwiMcDec функционирует как загрузчик, вводя полезную нагрузку с именем npuGDec с помощью VirtualAllocEx и WriteProcessMemory, выполняя ее через CreateRemoteThread. Внедренный код использует Donut для расшифро
Оглавление

Компания FortiGuard Labs выявила новый тип вредоносного ПО, представляющий собой банковский троян Coyote, который в первую очередь нацелен на пользователей в Бразилии. Вредоносная программа внедряется через серию файлов LNK, содержащих команды PowerShell, что делает процесс заражения многоэтапным и сложным.

Механизм работы трояна Coyote

Источник заражения представляет собой исходный файл LNK, в котором выполняется код PowerShell, подключающийся к удаленному серверу для перехода к следующему этапу. Вредоносное ПО предназначено для кражи конфиденциальной информации из финансовых приложений и веб-сайтов.

Основные функции трояна включают:

  • Кейлоггинг;
  • Захват экрана;
  • Фишинг учетных данных.

Структура и функциональность

Скрипт на удаленном сервере содержит закодированные сегменты данных, которые декодируются определенными командами для запуска последующих вредоносных операций. DLL-файл с именем bmwiMcDec функционирует как загрузчик, вводя полезную нагрузку с именем npuGDec с помощью VirtualAllocEx и WriteProcessMemory, выполняя ее через CreateRemoteThread.

Внедренный код использует Donut для расшифровки и выполнения конечных полезных данных MSIL, что обеспечивает бесперебойность следующих этапов. Расшифрованный файл MSIL может изменять реестр и создавать новую командную строку PowerShell для загрузки и выполнения URL-адреса в кодировке Base64, связанного с функциями троянской программы Coyote.

Целевые действия и последующая угроза

Основной URL-адрес вредоносной программы — hxxps://yezh.geontrigame.com/vxewhcacbfqnsw, который запускается с помощью CreateProcess. Более крупная полезная нагрузка vxewhcacbfqnsw представляет собой банковский троян Coyote, загружаемый после начального доступа через файл LNK.

Содержимое MSIL включает функции, такие как:

  • Проверка имен пользователей;
  • Мониторинг активных окон;
  • Связь с серверами C2 через порт 443.

При доступе к целевым сайтам активируется механизм отправки декодированных данных на сервер C2, что инициирует дальнейшие действия на основе определенных критериев.

Выводы и рекомендации

Процесс заражения банковским трояном Coyote демонстрирует серьезные риски для финансовой безопасности. Сложная многоэтапная структура сопровождается способностью заражать дополнительные файлы, что подчеркивает необходимость надежных мер безопасности как для частных лиц, так и для организаций против растущих угроз со стороны хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Троян Coyote: Многоэтапная угроза финансовой безопасности".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются