Il trojan delle applicazioni bancarie

Coyote è il nuovo trojan bancario che ruba informazioni finanziarie sensibili, utilizzando tattiche avanzate per evitare il rilevamento. In particolare, questo malware sfrutta il programma di installazione Squirrel per la sua distribuzione e il suo nome si ispira ai coyote, i predatori naturali degli scoiattoli. Invece di optare per i tradizionali programmi di installazione, Coyote ha adottato Squirrel, uno strumento relativamente nuovo per la distribuzione e l’aggiornamento delle applicazioni desktop su Windows. Utilizzando questa via, Coyote camuffa il suo loader durante la fase iniziale, simulando un innocuo pacchetto di aggiornamenti. Ciò che rende Coyote ancora più insidioso è l’impiego di Nim, un moderno linguaggio di programmazione multipiattaforma, come loader per la fase finale del processo di infezione. Questa strategia si allinea con una tendenza rilevata da Kaspersky, in cui i criminali informatici si avvalgono di linguaggi meno diffusi e multipiattaforma, dimostrando così la loro capacità di adattamento alle ultime evoluzioni tecnologiche. Vediamo in dettaglio il funzionamento di questo malware. Coyote, prima di eseguire il trojan, coinvolge un’applicazione NodeJS che esegue codice JavaScript malevolo, un loader Nim che decomprime un file eseguibile .NET. Per mascherare il codice, Coyote utilizza il sistema di offuscamento delle stringhe con la crittografia AES (Advanced Encryption Standard) per una maggiore segretezza. Una volta che le applicazioni bancarie sono attive, Coyote comunica con il suo server di comando e controllo utilizzando canali SSL con autenticazione reciproca. L’uso di comunicazioni criptate e la capacità di eseguire azioni specifiche, come il keylogging e gli screenshot, evidenziano la natura avanzata del trojan. Riesce addirittura a chiedere specifiche password di carte bancarie e a creare una pagina falsa per acquisire le credenziali dell’utente.

 “Negli ultimi tre anni, il numero di attacchi di Trojan bancari è quasi raddoppiato, arrivando a superare i 18 milioni nel 2023. Questo dimostra che le sfide alla sicurezza online sono in aumento. Per far fronte al crescente numero di minacce informatiche, è fondamentale che utenti e aziende proteggano i propri beni digitali. La diffusione di Coyote, un nuovo tipo di Trojan bancario brasiliano, ci ricorda di fare attenzione e di utilizzare le difese più recenti per mantenere al sicuro le nostre informazioni importanti”, ha commentato Fabio Assolini, Head of the Latin American Global Research and Analysis Team (GReAT) di Kaspersky.

Per leggere il report completo sul Trojan bancario Coyote, è possibile accedere a questo sito Securelist.com.