Quá trình hoạt động của Coyote bao gồm ứng dụng NodeJS thực thi mã JavaScript phức tạp, trình tải Nim giải nén tệp thực thi .NET và cuối cùng là thực thi một Trojan. Coyote bỏ qua quá trình làm rối mã và sử dụng phương pháp làm xáo trộn chuỗi bằng mã hóa AES để tăng khả năng ẩn giấu trên máy nạn nhân. Mục tiêu của Trojan phù hợp với hành vi điển hình của Trojan ngân hàng, đó là theo dõi ứng dụng hoặc trang web ngân hàng cụ thể được truy cập.
Ngày nay, việc sử dụng ngôn ngữ lập trình Delphi hoặc trình cài đặt MSI là xu hướng chủ yếu của các tác giả phần mềm độc hại. Với Coyote, Trojan này có cách thức hoạt động với đôi chút sự khác biệt. Thay vì sử dụng trình cài đặt MSI, nhà phát triển của Coyote đã lựa chọn một công cụ tương đối mới để cài đặt và cập nhật các ứng dụng máy tính để bàn Windows, đó là Squirrel. Theo các nhà nghiên cứu, Squirrel sử dụng NuGet để tạo các gói cài đặt và cập nhật.
Hình 1. Chuỗi lây nhiễm của Trojan Coyote
Bằng cách sử dụng Squirrel, Coyote ẩn trình tải giai đoạn ban đầu của nó bằng cách hiển thị dưới dạng trình đóng gói cập nhật (Hình 2).
Hình 2. Nội dung của trình cài đặt Squirrel độc hại
Khi Squirrel được thực thi, phần mềm độc hại sẽ chạy một ứng dụng NodeJS được biên dịch bằng Electron. Ứng dụng này thực thi mã JavaScript bị xáo trộn (preload.js) có chức năng chính là sao chép tất cả các tệp thực thi được tìm thấy trong thư mục temp sang thư mục captures của người dùng. Sau đó nó chạy một ứng dụng đã được ký số từ thư mục đó.
Hình 3. Cấu trúc của NodeJS
Một số tệp thực thi được liên kết với trình duyệt Chrome và OBS Studio. Trong tất cả các trường hợp được các nhà nghiên cứu Kaspersky phân tích, quá trình tải DLL được thực hiện bên trong thư viện libcef.dll.
Một điểm đặc biệt trong chuỗi lây nhiễm là việc sử dụng Nim, một ngôn ngữ lập trình đa nền tảng tương đối mới để thực hiện quá trình tải ở giai đoạn cuối cùng. Điều này phù hợp với xu hướng được Kaspersky quan sát, trong đó tội phạm mạng sử dụng các ngôn ngữ đa nền tảng và ít phổ biến hơn, thể hiện khả năng thích ứng của chúng với các công nghệ mới nhất. Mục tiêu của trình tải là giải nén tệp .NET và thực thi nó trong bộ nhớ bằng CLR.
Hình 4. Giải nén tệp .NET
Cần lưu ý rằng cùng một điểm truy cập, tiến trình obs-browser-page.exe được sử dụng cho mỗi lần khởi động lại máy tính, đóng vai trò như một tác nhân duy trì sự hiện diện. Sau tất cả các bước trên, Coyote sẽ được thực thi thành công. Trojan này không thực hiện bất kỳ kỹ thuật mã hóa mã nào và chỉ sử dụng kỹ thuật mã hóa chuỗi bằng mã hóa AES.
Hình 5. Xây dựng bảng chuỗi được mã hóa
Để truy xuất một chuỗi cụ thể, phần mềm độc hại gọi một phương thức giải mã với chỉ mục (index) chuỗi làm tham số. Phương thức giải mã hoạt động bằng cách tạo một bảng dữ liệu được mã hóa bằng base64, với16 byte đầu tiên của mỗi mục dữ liệu được giải mã đóng vai trò là Vectơ khởi tạo (IV - Initialization Vector), trong khi phần còn lại là dữ liệu được mã hóa sau này được sử dụng trong quy trình giải mã AES.
Hình 6. Cấu trúc dữ liệu được mã hóa
Khóa được tạo ngẫu nhiên bởi mỗi tệp thực thi và thuật toán giải mã AES sử dụng giao diện mã hóa .NET chính thức. Với cách tiếp cận này, đối với mỗi quyền truy cập chuỗi mà Coyote cần, nó sẽ tìm kiếm bên trong bảng và giải mã từng chuỗi bằng IV tùy chỉnh.
Coyote đạt được sự kiên trì bằng cách lạm dụng các tập lệnh đăng nhập Windows; trước tiên, nó sẽ kiểm tra xem đường dẫn: HKCU\Environment\UserInitMprLogonScript có tồn tại hay không và nếu có, phần mềm độc hại sẽ chèn giá trị registry làm đường dẫn đầy đủ đến một ứng dụng đã được ký số, trong trường hợp này là obs-browser-page.exe.
Mục tiêu hoạt động của Coyote phù hợp với hành vi điển hình của một Trojan ngân hàng, thực hiện giám sát tất cả các ứng dụng đang mở trên hệ thống của nạn nhân và chờ ứng dụng hoặc trang web ngân hàng cụ thể được truy cập.
Hình 7. Quy trình giám sát ứng dụng
Kaspersky đã xác định được ít nhất 61 ứng dụng liên quan, tất cả đều có nguồn gốc từ Brazil. Điều này cho thấy rõ ràng rằng Coyote là một Trojan ngân hàng nhắm mục tiêu chính đến các nạn nhân tại quốc gia Nam Mỹ này.
Khi bất kỳ ứng dụng nào liên quan đến ngân hàng được sử dụng, Trojan Coyote sẽ liên hệ với máy chủ điều khiển và ra lệnh (C2) để cung cấp thông tin này. Sau đó, C2 sẽ phản hồi bằng nhiều hành động khác nhau trên máy, từ ghi nhật ký thao tác bàn phím cho đến chụp ảnh màn hình.
Trojan thiết lập liên lạc với máy chủ C2 bằng các kênh SSL với lược đồ xác thực lẫn nhau. Điều này ngụ ý rằng Coyote sở hữu chứng thư số từ máy chủ do kẻ tấn công kiểm soát và sử dụng nó trong quá trình kết nối. Sau khi phần mềm độc hại xác minh rằng kết nối thực sự là của kẻ tấn công, nó sẽ tiến hành gửi thông tin được thu thập từ máy bị nhiễm và ứng dụng ngân hàng đến máy chủ. Các thông tin được truyền đi bao gồm:
Với những thông tin này, kẻ tấn công sẽ gửi gói phản hồi chứa các hành động cụ thể. Để xử lý những hành động đó, kẻ tấn công gửi một chuỗi có dấu phân cách ngẫu nhiên. Sau đó, mỗi vị trí của chuỗi sẽ được chuyển đổi thành một danh sách, với mục nhập đầu tiên hiển thị loại lệnh.
Để xác định lệnh mong muốn, phần mềm độc hại sẽ kiểm tra độ dài của chuỗi trong tham số đầu tiên, đây là một chuỗi ngẫu nhiên. Nói cách khác, sự khác biệt duy nhất giữa các lệnh là kích thước của chuỗi. Trojan cũng có thể yêu cầu mật khẩu thẻ ngân hàng cụ thể và tạo lớp phủ lừa đảo để lấy thông tin xác thực của người dùng.
Để bảo vệ khỏi các mối đe dọa đánh cắp thông tin tài chính, các nhà nghiên cứu khuyến nghị:
Coyote đánh dấu một sự thay đổi đáng chú ý về đặc điểm chung của một Trojan ngân hàng. Không giống như các phần mềm độc hại trước đó, thường sử dụng các ngôn ngữ cũ hơn như Delphi, các nhà phát triển của Coyote có kỹ năng về các công nghệ hiện đại như NodeJS, .NET và các phương pháp đóng gói tiên tiến.
Việc bổ sung Nim làm trình tải sẽ làm tăng thêm độ phức tạp của Trojan. Sự phát triển này nêu bật mức độ phức tạp ngày càng tăng trong bối cảnh mối đe dọa, đồng thời cho thấy các tin tặc đang thích nghi và sử dụng các ngôn ngữ cũng như công cụ mới nhất trong các chiến dịch độc hại của họ như thế nào.
“Trong ba năm qua, số vụ tấn công Trojan ngân hàng gần như tăng gấp đôi, đạt hơn 18 triệu vào năm 2023. Điều này cho thấy các thách thức bảo mật trực tuyến đang gia tăng” Fabio Assolini, người đứng đầu Nhóm nghiên cứu và Phân tích toàn cầu (GReAT) tại Kaspersky đánh giá.
|
TÀI LIỆU THAM KHẢO https://securelist.com/coyote-multi-stage-banking-trojan/111846/ |
Thái Bảo
(Tổng hợp)
19:00 | 30/04/2024
07:00 | 08/01/2024
17:00 | 22/12/2023
14:00 | 09/11/2023
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
