Quá trình hoạt động của Coyote bao gồm ứng dụng NodeJS thực thi mã JavaScript phức tạp, trình tải Nim giải nén tệp thực thi .NET và cuối cùng là thực thi một Trojan. Coyote bỏ qua quá trình làm rối mã và sử dụng phương pháp làm xáo trộn chuỗi bằng mã hóa AES để tăng khả năng ẩn giấu trên máy nạn nhân. Mục tiêu của Trojan phù hợp với hành vi điển hình của Trojan ngân hàng, đó là theo dõi ứng dụng hoặc trang web ngân hàng cụ thể được truy cập.
Ngày nay, việc sử dụng ngôn ngữ lập trình Delphi hoặc trình cài đặt MSI là xu hướng chủ yếu của các tác giả phần mềm độc hại. Với Coyote, Trojan này có cách thức hoạt động với đôi chút sự khác biệt. Thay vì sử dụng trình cài đặt MSI, nhà phát triển của Coyote đã lựa chọn một công cụ tương đối mới để cài đặt và cập nhật các ứng dụng máy tính để bàn Windows, đó là Squirrel. Theo các nhà nghiên cứu, Squirrel sử dụng NuGet để tạo các gói cài đặt và cập nhật.
Hình 1. Chuỗi lây nhiễm của Trojan Coyote
Bằng cách sử dụng Squirrel, Coyote ẩn trình tải giai đoạn ban đầu của nó bằng cách hiển thị dưới dạng trình đóng gói cập nhật (Hình 2).
Hình 2. Nội dung của trình cài đặt Squirrel độc hại
Khi Squirrel được thực thi, phần mềm độc hại sẽ chạy một ứng dụng NodeJS được biên dịch bằng Electron. Ứng dụng này thực thi mã JavaScript bị xáo trộn (preload.js) có chức năng chính là sao chép tất cả các tệp thực thi được tìm thấy trong thư mục temp sang thư mục captures của người dùng. Sau đó nó chạy một ứng dụng đã được ký số từ thư mục đó.
Hình 3. Cấu trúc của NodeJS
Một số tệp thực thi được liên kết với trình duyệt Chrome và OBS Studio. Trong tất cả các trường hợp được các nhà nghiên cứu Kaspersky phân tích, quá trình tải DLL được thực hiện bên trong thư viện libcef.dll.
Một điểm đặc biệt trong chuỗi lây nhiễm là việc sử dụng Nim, một ngôn ngữ lập trình đa nền tảng tương đối mới để thực hiện quá trình tải ở giai đoạn cuối cùng. Điều này phù hợp với xu hướng được Kaspersky quan sát, trong đó tội phạm mạng sử dụng các ngôn ngữ đa nền tảng và ít phổ biến hơn, thể hiện khả năng thích ứng của chúng với các công nghệ mới nhất. Mục tiêu của trình tải là giải nén tệp .NET và thực thi nó trong bộ nhớ bằng CLR.
Hình 4. Giải nén tệp .NET
Cần lưu ý rằng cùng một điểm truy cập, tiến trình obs-browser-page.exe được sử dụng cho mỗi lần khởi động lại máy tính, đóng vai trò như một tác nhân duy trì sự hiện diện. Sau tất cả các bước trên, Coyote sẽ được thực thi thành công. Trojan này không thực hiện bất kỳ kỹ thuật mã hóa mã nào và chỉ sử dụng kỹ thuật mã hóa chuỗi bằng mã hóa AES.
Hình 5. Xây dựng bảng chuỗi được mã hóa
Để truy xuất một chuỗi cụ thể, phần mềm độc hại gọi một phương thức giải mã với chỉ mục (index) chuỗi làm tham số. Phương thức giải mã hoạt động bằng cách tạo một bảng dữ liệu được mã hóa bằng base64, với16 byte đầu tiên của mỗi mục dữ liệu được giải mã đóng vai trò là Vectơ khởi tạo (IV - Initialization Vector), trong khi phần còn lại là dữ liệu được mã hóa sau này được sử dụng trong quy trình giải mã AES.
Hình 6. Cấu trúc dữ liệu được mã hóa
Khóa được tạo ngẫu nhiên bởi mỗi tệp thực thi và thuật toán giải mã AES sử dụng giao diện mã hóa .NET chính thức. Với cách tiếp cận này, đối với mỗi quyền truy cập chuỗi mà Coyote cần, nó sẽ tìm kiếm bên trong bảng và giải mã từng chuỗi bằng IV tùy chỉnh.
Coyote đạt được sự kiên trì bằng cách lạm dụng các tập lệnh đăng nhập Windows; trước tiên, nó sẽ kiểm tra xem đường dẫn: HKCU\Environment\UserInitMprLogonScript có tồn tại hay không và nếu có, phần mềm độc hại sẽ chèn giá trị registry làm đường dẫn đầy đủ đến một ứng dụng đã được ký số, trong trường hợp này là obs-browser-page.exe.
Mục tiêu hoạt động của Coyote phù hợp với hành vi điển hình của một Trojan ngân hàng, thực hiện giám sát tất cả các ứng dụng đang mở trên hệ thống của nạn nhân và chờ ứng dụng hoặc trang web ngân hàng cụ thể được truy cập.
Hình 7. Quy trình giám sát ứng dụng
Kaspersky đã xác định được ít nhất 61 ứng dụng liên quan, tất cả đều có nguồn gốc từ Brazil. Điều này cho thấy rõ ràng rằng Coyote là một Trojan ngân hàng nhắm mục tiêu chính đến các nạn nhân tại quốc gia Nam Mỹ này.
Khi bất kỳ ứng dụng nào liên quan đến ngân hàng được sử dụng, Trojan Coyote sẽ liên hệ với máy chủ điều khiển và ra lệnh (C2) để cung cấp thông tin này. Sau đó, C2 sẽ phản hồi bằng nhiều hành động khác nhau trên máy, từ ghi nhật ký thao tác bàn phím cho đến chụp ảnh màn hình.
Trojan thiết lập liên lạc với máy chủ C2 bằng các kênh SSL với lược đồ xác thực lẫn nhau. Điều này ngụ ý rằng Coyote sở hữu chứng thư số từ máy chủ do kẻ tấn công kiểm soát và sử dụng nó trong quá trình kết nối. Sau khi phần mềm độc hại xác minh rằng kết nối thực sự là của kẻ tấn công, nó sẽ tiến hành gửi thông tin được thu thập từ máy bị nhiễm và ứng dụng ngân hàng đến máy chủ. Các thông tin được truyền đi bao gồm:
Với những thông tin này, kẻ tấn công sẽ gửi gói phản hồi chứa các hành động cụ thể. Để xử lý những hành động đó, kẻ tấn công gửi một chuỗi có dấu phân cách ngẫu nhiên. Sau đó, mỗi vị trí của chuỗi sẽ được chuyển đổi thành một danh sách, với mục nhập đầu tiên hiển thị loại lệnh.
Để xác định lệnh mong muốn, phần mềm độc hại sẽ kiểm tra độ dài của chuỗi trong tham số đầu tiên, đây là một chuỗi ngẫu nhiên. Nói cách khác, sự khác biệt duy nhất giữa các lệnh là kích thước của chuỗi. Trojan cũng có thể yêu cầu mật khẩu thẻ ngân hàng cụ thể và tạo lớp phủ lừa đảo để lấy thông tin xác thực của người dùng.
Để bảo vệ khỏi các mối đe dọa đánh cắp thông tin tài chính, các nhà nghiên cứu khuyến nghị:
Coyote đánh dấu một sự thay đổi đáng chú ý về đặc điểm chung của một Trojan ngân hàng. Không giống như các phần mềm độc hại trước đó, thường sử dụng các ngôn ngữ cũ hơn như Delphi, các nhà phát triển của Coyote có kỹ năng về các công nghệ hiện đại như NodeJS, .NET và các phương pháp đóng gói tiên tiến.
Việc bổ sung Nim làm trình tải sẽ làm tăng thêm độ phức tạp của Trojan. Sự phát triển này nêu bật mức độ phức tạp ngày càng tăng trong bối cảnh mối đe dọa, đồng thời cho thấy các tin tặc đang thích nghi và sử dụng các ngôn ngữ cũng như công cụ mới nhất trong các chiến dịch độc hại của họ như thế nào.
“Trong ba năm qua, số vụ tấn công Trojan ngân hàng gần như tăng gấp đôi, đạt hơn 18 triệu vào năm 2023. Điều này cho thấy các thách thức bảo mật trực tuyến đang gia tăng” Fabio Assolini, người đứng đầu Nhóm nghiên cứu và Phân tích toàn cầu (GReAT) tại Kaspersky đánh giá.
|
TÀI LIỆU THAM KHẢO https://securelist.com/coyote-multi-stage-banking-trojan/111846/ |
Thái Bảo
(Tổng hợp)
19:00 | 30/04/2024
07:00 | 08/01/2024
17:00 | 22/12/2023
14:00 | 09/11/2023
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
