Quá trình hoạt động của Coyote bao gồm ứng dụng NodeJS thực thi mã JavaScript phức tạp, trình tải Nim giải nén tệp thực thi .NET và cuối cùng là thực thi một Trojan. Coyote bỏ qua quá trình làm rối mã và sử dụng phương pháp làm xáo trộn chuỗi bằng mã hóa AES để tăng khả năng ẩn giấu trên máy nạn nhân. Mục tiêu của Trojan phù hợp với hành vi điển hình của Trojan ngân hàng, đó là theo dõi ứng dụng hoặc trang web ngân hàng cụ thể được truy cập.
Ngày nay, việc sử dụng ngôn ngữ lập trình Delphi hoặc trình cài đặt MSI là xu hướng chủ yếu của các tác giả phần mềm độc hại. Với Coyote, Trojan này có cách thức hoạt động với đôi chút sự khác biệt. Thay vì sử dụng trình cài đặt MSI, nhà phát triển của Coyote đã lựa chọn một công cụ tương đối mới để cài đặt và cập nhật các ứng dụng máy tính để bàn Windows, đó là Squirrel. Theo các nhà nghiên cứu, Squirrel sử dụng NuGet để tạo các gói cài đặt và cập nhật.
Hình 1. Chuỗi lây nhiễm của Trojan Coyote
Bằng cách sử dụng Squirrel, Coyote ẩn trình tải giai đoạn ban đầu của nó bằng cách hiển thị dưới dạng trình đóng gói cập nhật (Hình 2).
Hình 2. Nội dung của trình cài đặt Squirrel độc hại
Khi Squirrel được thực thi, phần mềm độc hại sẽ chạy một ứng dụng NodeJS được biên dịch bằng Electron. Ứng dụng này thực thi mã JavaScript bị xáo trộn (preload.js) có chức năng chính là sao chép tất cả các tệp thực thi được tìm thấy trong thư mục temp sang thư mục captures của người dùng. Sau đó nó chạy một ứng dụng đã được ký số từ thư mục đó.
Hình 3. Cấu trúc của NodeJS
Một số tệp thực thi được liên kết với trình duyệt Chrome và OBS Studio. Trong tất cả các trường hợp được các nhà nghiên cứu Kaspersky phân tích, quá trình tải DLL được thực hiện bên trong thư viện libcef.dll.
Một điểm đặc biệt trong chuỗi lây nhiễm là việc sử dụng Nim, một ngôn ngữ lập trình đa nền tảng tương đối mới để thực hiện quá trình tải ở giai đoạn cuối cùng. Điều này phù hợp với xu hướng được Kaspersky quan sát, trong đó tội phạm mạng sử dụng các ngôn ngữ đa nền tảng và ít phổ biến hơn, thể hiện khả năng thích ứng của chúng với các công nghệ mới nhất. Mục tiêu của trình tải là giải nén tệp .NET và thực thi nó trong bộ nhớ bằng CLR.
Hình 4. Giải nén tệp .NET
Cần lưu ý rằng cùng một điểm truy cập, tiến trình obs-browser-page.exe được sử dụng cho mỗi lần khởi động lại máy tính, đóng vai trò như một tác nhân duy trì sự hiện diện. Sau tất cả các bước trên, Coyote sẽ được thực thi thành công. Trojan này không thực hiện bất kỳ kỹ thuật mã hóa mã nào và chỉ sử dụng kỹ thuật mã hóa chuỗi bằng mã hóa AES.
Hình 5. Xây dựng bảng chuỗi được mã hóa
Để truy xuất một chuỗi cụ thể, phần mềm độc hại gọi một phương thức giải mã với chỉ mục (index) chuỗi làm tham số. Phương thức giải mã hoạt động bằng cách tạo một bảng dữ liệu được mã hóa bằng base64, với16 byte đầu tiên của mỗi mục dữ liệu được giải mã đóng vai trò là Vectơ khởi tạo (IV - Initialization Vector), trong khi phần còn lại là dữ liệu được mã hóa sau này được sử dụng trong quy trình giải mã AES.
Hình 6. Cấu trúc dữ liệu được mã hóa
Khóa được tạo ngẫu nhiên bởi mỗi tệp thực thi và thuật toán giải mã AES sử dụng giao diện mã hóa .NET chính thức. Với cách tiếp cận này, đối với mỗi quyền truy cập chuỗi mà Coyote cần, nó sẽ tìm kiếm bên trong bảng và giải mã từng chuỗi bằng IV tùy chỉnh.
Coyote đạt được sự kiên trì bằng cách lạm dụng các tập lệnh đăng nhập Windows; trước tiên, nó sẽ kiểm tra xem đường dẫn: HKCU\Environment\UserInitMprLogonScript có tồn tại hay không và nếu có, phần mềm độc hại sẽ chèn giá trị registry làm đường dẫn đầy đủ đến một ứng dụng đã được ký số, trong trường hợp này là obs-browser-page.exe.
Mục tiêu hoạt động của Coyote phù hợp với hành vi điển hình của một Trojan ngân hàng, thực hiện giám sát tất cả các ứng dụng đang mở trên hệ thống của nạn nhân và chờ ứng dụng hoặc trang web ngân hàng cụ thể được truy cập.
Hình 7. Quy trình giám sát ứng dụng
Kaspersky đã xác định được ít nhất 61 ứng dụng liên quan, tất cả đều có nguồn gốc từ Brazil. Điều này cho thấy rõ ràng rằng Coyote là một Trojan ngân hàng nhắm mục tiêu chính đến các nạn nhân tại quốc gia Nam Mỹ này.
Khi bất kỳ ứng dụng nào liên quan đến ngân hàng được sử dụng, Trojan Coyote sẽ liên hệ với máy chủ điều khiển và ra lệnh (C2) để cung cấp thông tin này. Sau đó, C2 sẽ phản hồi bằng nhiều hành động khác nhau trên máy, từ ghi nhật ký thao tác bàn phím cho đến chụp ảnh màn hình.
Trojan thiết lập liên lạc với máy chủ C2 bằng các kênh SSL với lược đồ xác thực lẫn nhau. Điều này ngụ ý rằng Coyote sở hữu chứng thư số từ máy chủ do kẻ tấn công kiểm soát và sử dụng nó trong quá trình kết nối. Sau khi phần mềm độc hại xác minh rằng kết nối thực sự là của kẻ tấn công, nó sẽ tiến hành gửi thông tin được thu thập từ máy bị nhiễm và ứng dụng ngân hàng đến máy chủ. Các thông tin được truyền đi bao gồm:
Với những thông tin này, kẻ tấn công sẽ gửi gói phản hồi chứa các hành động cụ thể. Để xử lý những hành động đó, kẻ tấn công gửi một chuỗi có dấu phân cách ngẫu nhiên. Sau đó, mỗi vị trí của chuỗi sẽ được chuyển đổi thành một danh sách, với mục nhập đầu tiên hiển thị loại lệnh.
Để xác định lệnh mong muốn, phần mềm độc hại sẽ kiểm tra độ dài của chuỗi trong tham số đầu tiên, đây là một chuỗi ngẫu nhiên. Nói cách khác, sự khác biệt duy nhất giữa các lệnh là kích thước của chuỗi. Trojan cũng có thể yêu cầu mật khẩu thẻ ngân hàng cụ thể và tạo lớp phủ lừa đảo để lấy thông tin xác thực của người dùng.
Để bảo vệ khỏi các mối đe dọa đánh cắp thông tin tài chính, các nhà nghiên cứu khuyến nghị:
Coyote đánh dấu một sự thay đổi đáng chú ý về đặc điểm chung của một Trojan ngân hàng. Không giống như các phần mềm độc hại trước đó, thường sử dụng các ngôn ngữ cũ hơn như Delphi, các nhà phát triển của Coyote có kỹ năng về các công nghệ hiện đại như NodeJS, .NET và các phương pháp đóng gói tiên tiến.
Việc bổ sung Nim làm trình tải sẽ làm tăng thêm độ phức tạp của Trojan. Sự phát triển này nêu bật mức độ phức tạp ngày càng tăng trong bối cảnh mối đe dọa, đồng thời cho thấy các tin tặc đang thích nghi và sử dụng các ngôn ngữ cũng như công cụ mới nhất trong các chiến dịch độc hại của họ như thế nào.
“Trong ba năm qua, số vụ tấn công Trojan ngân hàng gần như tăng gấp đôi, đạt hơn 18 triệu vào năm 2023. Điều này cho thấy các thách thức bảo mật trực tuyến đang gia tăng” Fabio Assolini, người đứng đầu Nhóm nghiên cứu và Phân tích toàn cầu (GReAT) tại Kaspersky đánh giá.
|
TÀI LIỆU THAM KHẢO https://securelist.com/coyote-multi-stage-banking-trojan/111846/ |
Thái Bảo
(Tổng hợp)
07:00 | 08/01/2024
19:00 | 30/04/2024
11:00 | 29/05/2024
17:00 | 22/12/2023
14:00 | 09/11/2023
10:00 | 03/03/2025
Theo Christiaan Beek, Giám đốc phân tích nguy cơ cấp cao của hãng bảo mật Rapid7 (Hoa Kỳ), 2024 là năm của các cuộc tấn công liên tiếp. Báo cáo của hãng cho thấy, số lượng các vụ tấn công từ những băng nhóm mã độc tống tiền tăng mạnh vào năm ngoái với số tiền chuộc có thể lên tới 380 triệu USD. Trung bình tiền chuộc của mỗi vụ là 200.000 USD.
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
15:00 | 27/12/2024
Mới đây, Công ty an ninh mạng Bitsight (Mỹ) đã phát hiện mạng lưới botnet BadBox bao gồm hơn 190.000 thiết bị Android, trong đó chủ yếu là các thiết bị TV thông minh Yandex và điện thoại thông minh Hisense.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
