Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

admin 2024年7月15日12:51:09评论26 views字数 8878阅读29分35秒阅读模式

Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

总结

近年来,全球贸易的增加和拉丁美洲(LATAM)市场的增长使该地区成为网络罪犯越来越有吸引力的目标。世界经济论坛在其2024年1月的《全球网络安全展望》报告中指出,拉丁美洲有大量“网络弹性不足的组织”,其中政府和金融机构是首要目标。

Coyote是一个。net银行木马,被观察到针对巴西的金融机构,主要是银行。它的执行链与其他银行木马明显不同。研究人员在2024年2月首次发现了Coyote,它之所以被称为Coyote,是因为它滥用了Squirrel(一种有效的非恶意软件,用于管理Windows应用程序的安装和更新)。

在Coyote攻击期间,合法的开源OBS文件和Chromium嵌入式框架(CEF)动态链接库(DLL)会被注入一个受损的DLL。被破坏的DLL使用Nim编程语言加载Coyote银行木马并获取用户财务信息,并在系统上持久化。

在这篇博客中,我们将仔细研究Coyote的感染载体和执行链。

受影响的操作系统

Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

技术分析

感染向量

虽然我们在分析Coyote木马的过程中没有直接观察到它的传播方式,但这种恶意软件通常是通过网络钓鱼传播的,用户被引诱点击一个恶意链接,而不是作为附件传播木马。这是由于木马的文件大小异常大(170 MB);具有如此大文件作为附件的电子邮件可能会从限制或阻止具有大文件大小的电子邮件的电子邮件系统中反弹。

发现的文件的名字是用巴西葡萄牙语写的,这证实了目标完全是巴西受害者。在攻击过程中使用的文件名示例包括:

  • Pdfpapel327088636055.zip (“papel” = paper)

  • Pdfmensal4669787638.zip (“mensal” = monthly)

分析

当执行主恶意文件(例如pdfpapel327088636055.exe)时,将启动Squirrel更新进程:

“C:UsersAppDataLocaldesignlesothoapp-0.7.2designlesotho.exe”-松鼠安装0.7.2

最后,通过cmd.exe执行:OBS " OBS -browser-page.exe "

Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

Figure 1: Process Tree of the initial execution to obs-browser-page.exe.

持久性是通过注册表实现的:

在执行非恶意的obs-browser-page.exe (SHA256: ec605cc14c60e30682e84ec87d19034f7bd1399025ca11fbf3c4adeed85fadf0)时,Squirrel更新进程会加载libcef.dll (SHA256: e1c48e87d7386dc2edd54a1d3ac73d4af7e63eb2fc4f26f59ff15a9dd1dc1ac6)。这是一个非恶意的Google Chrome DLL,易受DLL侧加载的影响,最终加载恶意的chrome_elf.dll (SHA256: 110b616bc12c29b070b0dc60c197a4d63b3e3caae6bb80a25b8864489a51da79)。

最后一个DLL, chrome_elf.dll,是一个Nim加载程序,执行内存中的嵌入式Coyote银行木马(SHA256: e3d9cb8f4385a63e70305de36f8366e0b86d183322e860029455f145404c7e9c)。

Nim是一种相当新的多平台编程语言,它结合了Python、Ada和Modula等成熟语言的成功概念。

Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

Figure 2: Non-malicious file "obs-browser-page-exe" and "libcef.dll" along with the malicious "chrome_elf.dll."

一旦执行,Coyote银行木马就会继续检查文件或Internet浏览器窗口的标题。只有当窗口标题与目标之一匹配时(将在下面的“目标”部分中提到),它才会开始与其命令和控制(C2)服务器进行通信。

Coyote总共可以运行24个命令和功能,包括截图用户的活动,显示全屏覆盖窗口(包括一个假银行应用程序的覆盖),更改注册表,移动用户的鼠标,关机和键盘记录。

Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

Figure 3: Coyote keylogger command.

沟通

Coyote使用WatsonTCP库进行通信。在我们观察到的具体活动中,二进制随机选择以下C2s之一:

C2

bestoraculo[.]com

感恩节 [.]如何

turmadabruta[.]com

britoingresso(。)

辛尼布良[.]如何

根据我们的分析,除了最初报告的C2服务器外,我们还发现了其他C2服务器:

额外in

Chloridatosys [..]com

flogoral[.]COM

格式[.]com

比拉特[.]如何

autoglobalcar[.]COM

answerssolution[.]如何

天使呼叫中心[.]通信

服务[.]如何

dowfinanceiro(。)

CentralSolution[.]如何

加尔加梅洛哈斯[.]如何

carrodenatal[.]com

marvelnatal[.]com

Nograusistema[.]通信

navegacaodura[.]com

jogodequadra[.]com

carrosantigo(。)

bermatechclient[.]com

Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

Figure 4: Connections from Coyote banking Trojan to different C2 servers.

利用松鼠和针对OBS的DLL侧加载的不同感染链,以及。net巴西银行木马,我们认为这确实是Coyote威胁行为者。在写这篇文章的时候,没有关于这个特定的银行木马是否在地下市场上出售的参考资料。

目标

Coyote的目标是巴西金融机构以及币安(Binance),后者是一家运营加密货币交易所的全球性公司,其加密货币日交易量最大。Coyote的完整目标合法域名列表如下:

目标(合法域)

Bancobrasil.com.br

Bb.com.br

internetbanking.caixa.gov.br

loginx.caixa.gov.br

banco.bradesco

cidadetran.bradesco

ne12.bradesconetempresa.b.br

binance.com

mercadobitcoin.com.br

bitcointrade.com.br

foxbit.com.br

blockchain.com

accounts.binance.com

pf.santandernet.com.br

pj.santandernetibe.com.br

itau.com.br

meu.original.com.br

empresas.origina

ibpj.original.com.br

banrisul.com.br

internetbanking.banpara.b.br

ib.banpara.b.br

www2s.bancoamazonia.com.br

ecode.daycoval.com.br

mercantildobrasi

stone.com.br

bancopan.com.br

unicred.com.br

safra.com.br

safraempresas.com.br

ib.brde.com.br

banese.com.br

bancobmg.com.br

brbbanknet.brb.com.br

internetbanking.confesol.com.br

tribanco.com.br

credisisbank.com.br

credisan.com.br

bancobs2.com.br

bancofibra.com.br

uniprimebr.com.br

uniprime.com.br

bancotopazio.com.br

btgmais.com

citidirect.com

banestes.b.br

zeitbank.com.br

cora.com.br

sofisa.com.br

sofisadireto.com.br

www.banestes.com.br

banestes.com.br

wwws.uniprimedobrasil.com.br

www.rendimento.com.br

rendimento.com.br

contaonline.viacredi.coop.br

sicredi.com.br

nel.bnb.gov.br

mercadopago.com.br

结论

针对拉丁美洲地区(主要集中在巴西)的。net银行木马的出现,突显了网络安全威胁形势的快速演变。这种复杂的恶意软件采用非常规的方法,通过带有恶意域的网络钓鱼渗透到目标系统,目的是破坏大型金融机构。

将初始加载程序伪装成合法的Squirrel更新打包程序的欺骗策略强调了防御者提高警惕和采取主动安全措施的必要性。随着组织加强网络安全防御,不仅要投资更先进的保护技术,而且要优先考虑用户教育,这一点至关重要。通过提高员工对这些威胁的意识和理解,我们可以显著改进防御规避技术并减轻一些风险。

正面打击Coyote银行木马威胁需要多方面的方法,将现代网络安全解决方案与全面的用户培训相结合。通过领先于新出现的威胁并培养网络弹性文化,我们可以保护我们的关键系统并保护拉丁美洲地区金融机构的诚信。

MITRE ATT&CK®矩阵

策略

技术ID

技术名称

细节

执行

T1059.007

命令和脚本解释器:JavaScript

在Squirrel执行时,一个NodeJS应用程序运行并执行混淆的JavaScript代码。

T1204.002

用户执行:恶意文件

初始加载程序伪装成Squirrel更新程序。

持久性

T1547.001

启动或登录自动启动执行:注册表运行键/启动文件夹

注册表值被添加到HKCUEnvironmentUserInitMprLogonScript键中(在检查是否存在之前)。在我们观察到的“obs-browser-page.exe”案例中增加的价值是建立持久性。

特权升级

T1574.002

劫持执行流程:DLL侧加载

该木马是通过依赖于Chrome和OBS Studio可执行文件(libcef.dll)的DLL侧加载加载的。

国防逃税

T1218

系统二进制代理执行

使用Squirrel创建安装和更新包,将感染载体隐藏在更新程序中。

T1027

混淆文件或信息

  • Trojan utilizes string obfuscation with AES encryption

  • NodeJS应用程序运行和执行混淆的JavaScript代码

T1620

反射式代码加载

NIM用于加载最后阶段,该阶段解压缩. net可执行文件,并使用CLR在内存中执行它。

T11036.001

伪装:匹配合法名称或位置

Coyote通过将其显示为更新打包程序来隐藏其初始加载程序。

T1553.002

代码签名

使用带有合法库的签名应用程序。

T1480.001

执行护栏

一旦恶意软件验证连接确实是与攻击者连接,它就会继续将从受感染的机器和银行应用程序收集的信息发送到服务器。

发现

T1082

发现系统信息

发送给C2的信息包括:

  • 机器的名字

  • GUID

  • Banking application/s being used

T1010

Application Windows Discovery

Trojan monitors all open applications on the victim’s system and waits for the specific banking application or website to be accessed.

Collection

T1056.001

Input Capture: Keylogging

Trojan has the capability to conduct keylogging.

T1113

Screen Capture

Trojan has the capability to take screenshots.

Command and Control

T1573

Encrypted Channel

Trojan establishes communication with its C2 server using SSL channels with a mutual authentication scheme.

T1205

Traffic Signaling

Attacker sends a response packet that contains specific actions. To process these actions, the attacker transmits a string with a random delimiter. Each position of the string is then converted to a list, with the first entry representing the command type.

影响

T1529

System Shutdown/Reboot

Trojan has capabilities to shut down the compromised system.

Indicators of Compromise (IoCs):

SHA256

File Type

细节

096d7765f278bb0de33fbfa0a15413a2432060d09c99f15c6ca900a6a8a46365

9c6fc9e0854eaf5a0720caab1646f48c7992f6f4051438004598af89102a49eb

e0b65087cc83b899d53c153fcfd1420d15e369c3d196325396b50cb75681c27d

485c8bfae3e5c150012e1d630f5d9ae37b786d4b750a9a0adf2b174b7ab85c65

16cc13258a3e63be247c9adf18def0369bb72197bdb3668142bc50a6656047af

2bd6bbe48d0328e4011ce3053e616664a4eb2bf43bd5762cb03be297f786b068

287b39f40ed541585c968b6529c44e9ccdd899bca0b88457907d994c2b5013f4

341a1945f606bcf4c25bce9b850dbddc5125376156cb7f8d14c6ce6bc4b396c3

9160ca25889427b2c2da4d4b14c4a93a707efc2ce07a49d5b8ab1a7f9be8ab55

2d8b10e35c2c2d9675ec693558629450eeee2c8e38f491d38c42de96bddf317a

112edf53d4c560ab71f1b20856ec4d6096e0ea42b0271526b3415c3563300f06

3cbc282c6a51edff4e762267332e1ff2a503f7ba8a7b2a10c9ff404a7bda913b

aedffb9cf780bb52c68586ceb238fcaf90253524f06a4a338edc6437409e51c5

2b428df6f76d36ceeebfd37df65ab7893cb6f526afeb9e4494829628f0b9cae8

ae6676ad5b8ba386e88ae045eacc05225a657360963844cdf18db6a45318ea89

ce07ef596772e9cfa6f41000f27244f6f750527639a26c6be0b73033a8e41883

c0833babb2982e36ac7646f7539f6a235a42bcf5375bc080d3ac9d031dc3b903

d44f4db6680d178437e9cfba010ac049f80e5eddf43b3977da819119bb6ca06d

504a5902f20d0a7e3968251849cd88acd31e7fc895fc18d5c82076c5388df5bd

8e614368f99f955c75752df597f97de1dd51b4f0dfeeadc76e1badcc7ca57fc2

3cc58b46d0babd561508d7b67c609e0e9be9a35db9425f1e8a29512a5229665a

5656501522adfe1b08f58cccc1e187cbb7099ef1193a62edd5dfe0d32da4cd7a

fb8353e718397dcabd11d9bd8a500ffd54e2a57ac4722a34241757c60ba2bdff

ae65738fa81be0b2cfe2f63209db9ed5b928b4b5a1a703ce2a89699a6f192f07

5b3421beb6aaf3fd16831e1456475acac4f8e7c863869fb4d5dc9b1ae0576ef3

6b7a014d0674fe5f145aa2c5dc7674d42e5306d82c3fe7ab0235dcbfd559725f

d96c3e8dc899948bf92c377bb4872b19b5983b6eb2d59f00019345293601843c

2a54b7f1327398ccd1c538759201e8699dfad7c53e8e095ea782d862ec48cb92

90ffb18c9d05bf6a61d90c57f299b70702c0e65dac90349b06d5e6833d6d2612

4869fcfda9be32f3cdd48c21bda07aefde496c5f06f235f33ce948169e9744e5

3edcf6a6b6cb254f72f0f2607fa4bb2ecb604475b448c9487e89fc76eb8f896e

a0d2c87f4ed6522fdcd8c8d234dca9c7e8831de5faa9445275405ddd0a9104cc

6da5f450f3124e30e8091fda443cb416d29eab4e166a777263e004758acf2e69

10af5c8950b8802851afe96b423d20408b618f80ab54c1a5aef0f1a04c36f331

f6ed73bed9e6b992dbfdee64ff8c9dfde5e3f12c3ec6bbb4e2367fbd2ce75b6f

1ba49976a6e596abb68e2f7ca37407930330a4bf0bd25207057c5a60cb3a4107

798fb8de9bb0434ee0b172793f5b68eb593054538cf5ec96e71a5a0759f6bcc5

c057145da9481a4fff50e69b7e746c19cc95e2d33331539b6b62077169bc4b42

fcb8f32502147dbf8ef44ad99a41d9eaf639bb3d22c4de92a3022f501c9d8cb6

0dea05062d6527ab03f80de87488d278dd333167cdabdf5ef28da760bf252863

3a14ab878697453832306a836e67915d7475481307c65268ceb1f900ff4ec25a

ZIP

Malware Delivery

eb615c093e9b52ed409f426764857e6e42aa85e02adef59d6f1457dcbb90bb40

1bed3755276abd9b54db13882fcf29c543ebf604be3b7fcf060cbd6d68bcd23f

4806617bbc8187a89d5ed73cb818853e306d3699f87bd09940b0ecffdc96091d

1d59bc782e532780da0364b14a1b474a8cb8a5af50c8124159bf5d943bd050f7

DLL

NIM Loader + Coyote banking Trojan

IP/Domain

Details

cloridatosys[.]com

flogoral[.]com

formitamina[.]com

bilatex[.]com

autoglobalcar[.]com

atendesolucao[.]com

angelcallcenter[.]com

servicoasso[.]com

dowfinanceiro[.]com

centralsolucao[.]com

gargamellojas[.]com

carrodenatal[.]com

marvelnatal[.]com

nograusistema[.]com

navegacaodura[.]com

jogodequadra[.]com

carrosantigo[.]com

bermatechcliente[.]com        

Recently active malicious Coyote C2’s

Countermeasures

好消息是,黑莓用户可以通过端点保护解决方案(如CylanceENDPOINT™)免受本文中列出的Coyote IoCs的侵害。CylanceENDPOINT利用先进的人工智能在威胁造成损害之前检测到威胁,最大限度地减少了勒索软件攻击期间的业务中断和成本。

YARA Rule

原文始发于微信公众号(HackSee):Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日12:51:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构https://cn-sec.com/archives/2953450.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息