总结
近年来,全球贸易的增加和拉丁美洲(LATAM)市场的增长使该地区成为网络罪犯越来越有吸引力的目标。世界经济论坛在其2024年1月的《全球网络安全展望》报告中指出,拉丁美洲有大量“网络弹性不足的组织”,其中政府和金融机构是首要目标。
Coyote是一个。net银行木马,被观察到针对巴西的金融机构,主要是银行。它的执行链与其他银行木马明显不同。研究人员在2024年2月首次发现了Coyote,它之所以被称为Coyote,是因为它滥用了Squirrel(一种有效的非恶意软件,用于管理Windows应用程序的安装和更新)。
在Coyote攻击期间,合法的开源OBS文件和Chromium嵌入式框架(CEF)动态链接库(DLL)会被注入一个受损的DLL。被破坏的DLL使用Nim编程语言加载Coyote银行木马并获取用户财务信息,并在系统上持久化。
在这篇博客中,我们将仔细研究Coyote的感染载体和执行链。
受影响的操作系统
技术分析
感染向量
虽然我们在分析Coyote木马的过程中没有直接观察到它的传播方式,但这种恶意软件通常是通过网络钓鱼传播的,用户被引诱点击一个恶意链接,而不是作为附件传播木马。这是由于木马的文件大小异常大(170 MB);具有如此大文件作为附件的电子邮件可能会从限制或阻止具有大文件大小的电子邮件的电子邮件系统中反弹。
发现的文件的名字是用巴西葡萄牙语写的,这证实了目标完全是巴西受害者。在攻击过程中使用的文件名示例包括:
-
Pdfpapel327088636055.zip (“papel” = paper)
-
Pdfmensal4669787638.zip (“mensal” = monthly)
分析
当执行主恶意文件(例如pdfpapel327088636055.exe)时,将启动Squirrel更新进程:
“C:Users
最后,通过cmd.exe执行:OBS " OBS -browser-page.exe "
Figure 1: Process Tree of the initial execution to obs-browser-page.exe.
持久性是通过注册表实现的:
在执行非恶意的obs-browser-page.exe (SHA256: ec605cc14c60e30682e84ec87d19034f7bd1399025ca11fbf3c4adeed85fadf0)时,Squirrel更新进程会加载libcef.dll (SHA256: e1c48e87d7386dc2edd54a1d3ac73d4af7e63eb2fc4f26f59ff15a9dd1dc1ac6)。这是一个非恶意的Google Chrome DLL,易受DLL侧加载的影响,最终加载恶意的chrome_elf.dll (SHA256: 110b616bc12c29b070b0dc60c197a4d63b3e3caae6bb80a25b8864489a51da79)。
最后一个DLL, chrome_elf.dll,是一个Nim加载程序,执行内存中的嵌入式Coyote银行木马(SHA256: e3d9cb8f4385a63e70305de36f8366e0b86d183322e860029455f145404c7e9c)。
Nim是一种相当新的多平台编程语言,它结合了Python、Ada和Modula等成熟语言的成功概念。
Figure 2: Non-malicious file "obs-browser-page-exe" and "libcef.dll" along with the malicious "chrome_elf.dll."
一旦执行,Coyote银行木马就会继续检查文件或Internet浏览器窗口的标题。只有当窗口标题与目标之一匹配时(将在下面的“目标”部分中提到),它才会开始与其命令和控制(C2)服务器进行通信。
Coyote总共可以运行24个命令和功能,包括截图用户的活动,显示全屏覆盖窗口(包括一个假银行应用程序的覆盖),更改注册表,移动用户的鼠标,关机和键盘记录。
Figure 3: Coyote keylogger command.
沟通
Coyote使用WatsonTCP库进行通信。在我们观察到的具体活动中,二进制随机选择以下C2s之一:
C2 |
bestoraculo[.]com |
感恩节 [.]如何 |
turmadabruta[.]com |
britoingresso(。) |
辛尼布良[.]如何 |
根据我们的分析,除了最初报告的C2服务器外,我们还发现了其他C2服务器:
额外in |
Chloridatosys [..]com |
flogoral[.]COM |
格式[.]com |
比拉特[.]如何 |
autoglobalcar[.]COM |
answerssolution[.]如何 |
天使呼叫中心[.]通信 |
服务[.]如何 |
dowfinanceiro(。) |
CentralSolution[.]如何 |
加尔加梅洛哈斯[.]如何 |
carrodenatal[.]com |
marvelnatal[.]com |
Nograusistema[.]通信 |
navegacaodura[.]com |
jogodequadra[.]com |
carrosantigo(。) |
bermatechclient[.]com |
Figure 4: Connections from Coyote banking Trojan to different C2 servers.
利用松鼠和针对OBS的DLL侧加载的不同感染链,以及。net巴西银行木马,我们认为这确实是Coyote威胁行为者。在写这篇文章的时候,没有关于这个特定的银行木马是否在地下市场上出售的参考资料。
目标
Coyote的目标是巴西金融机构以及币安(Binance),后者是一家运营加密货币交易所的全球性公司,其加密货币日交易量最大。Coyote的完整目标合法域名列表如下:
目标(合法域) |
Bancobrasil.com.br |
Bb.com.br |
internetbanking.caixa.gov.br |
loginx.caixa.gov.br |
banco.bradesco |
cidadetran.bradesco |
ne12.bradesconetempresa.b.br |
binance.com |
mercadobitcoin.com.br |
bitcointrade.com.br |
foxbit.com.br |
blockchain.com |
accounts.binance.com |
pf.santandernet.com.br |
pj.santandernetibe.com.br |
itau.com.br |
meu.original.com.br |
empresas.origina |
ibpj.original.com.br |
banrisul.com.br |
internetbanking.banpara.b.br |
ib.banpara.b.br |
www2s.bancoamazonia.com.br |
ecode.daycoval.com.br |
mercantildobrasi |
stone.com.br |
bancopan.com.br |
unicred.com.br |
safra.com.br |
safraempresas.com.br |
ib.brde.com.br |
banese.com.br |
bancobmg.com.br |
brbbanknet.brb.com.br |
internetbanking.confesol.com.br |
tribanco.com.br |
credisisbank.com.br |
credisan.com.br |
bancobs2.com.br |
bancofibra.com.br |
uniprimebr.com.br |
uniprime.com.br |
bancotopazio.com.br |
btgmais.com |
citidirect.com |
banestes.b.br |
zeitbank.com.br |
cora.com.br |
sofisa.com.br |
sofisadireto.com.br |
www.banestes.com.br |
banestes.com.br |
wwws.uniprimedobrasil.com.br |
www.rendimento.com.br |
rendimento.com.br |
contaonline.viacredi.coop.br |
sicredi.com.br |
nel.bnb.gov.br |
mercadopago.com.br |
结论
针对拉丁美洲地区(主要集中在巴西)的。net银行木马的出现,突显了网络安全威胁形势的快速演变。这种复杂的恶意软件采用非常规的方法,通过带有恶意域的网络钓鱼渗透到目标系统,目的是破坏大型金融机构。
将初始加载程序伪装成合法的Squirrel更新打包程序的欺骗策略强调了防御者提高警惕和采取主动安全措施的必要性。随着组织加强网络安全防御,不仅要投资更先进的保护技术,而且要优先考虑用户教育,这一点至关重要。通过提高员工对这些威胁的意识和理解,我们可以显著改进防御规避技术并减轻一些风险。
正面打击Coyote银行木马威胁需要多方面的方法,将现代网络安全解决方案与全面的用户培训相结合。通过领先于新出现的威胁并培养网络弹性文化,我们可以保护我们的关键系统并保护拉丁美洲地区金融机构的诚信。
MITRE ATT&CK®矩阵
策略 |
技术ID |
技术名称 |
细节 |
执行 |
T1059.007 |
命令和脚本解释器:JavaScript |
在Squirrel执行时,一个NodeJS应用程序运行并执行混淆的JavaScript代码。 |
T1204.002 |
用户执行:恶意文件 |
初始加载程序伪装成Squirrel更新程序。 |
|
持久性 |
T1547.001 |
启动或登录自动启动执行:注册表运行键/启动文件夹 |
注册表值被添加到HKCUEnvironmentUserInitMprLogonScript键中(在检查是否存在之前)。在我们观察到的“obs-browser-page.exe”案例中增加的价值是建立持久性。 |
特权升级 |
T1574.002 |
劫持执行流程:DLL侧加载 |
该木马是通过依赖于Chrome和OBS Studio可执行文件(libcef.dll)的DLL侧加载加载的。 |
国防逃税 |
T1218 |
系统二进制代理执行 |
使用Squirrel创建安装和更新包,将感染载体隐藏在更新程序中。 |
T1027 |
混淆文件或信息 |
|
|
T1620 |
反射式代码加载 |
NIM用于加载最后阶段,该阶段解压缩. net可执行文件,并使用CLR在内存中执行它。 |
|
T11036.001 |
伪装:匹配合法名称或位置 |
Coyote通过将其显示为更新打包程序来隐藏其初始加载程序。 |
|
T1553.002 |
代码签名 |
使用带有合法库的签名应用程序。 |
|
T1480.001 |
执行护栏 |
一旦恶意软件验证连接确实是与攻击者连接,它就会继续将从受感染的机器和银行应用程序收集的信息发送到服务器。 |
|
发现 |
T1082 |
发现系统信息 |
发送给C2的信息包括:
|
T1010 |
Application Windows Discovery |
Trojan monitors all open applications on the victim’s system and waits for the specific banking application or website to be accessed. |
|
Collection |
T1056.001 |
Input Capture: Keylogging |
Trojan has the capability to conduct keylogging. |
T1113 |
Screen Capture |
Trojan has the capability to take screenshots. |
|
Command and Control |
T1573 |
Encrypted Channel |
Trojan establishes communication with its C2 server using SSL channels with a mutual authentication scheme. |
T1205 |
Traffic Signaling |
Attacker sends a response packet that contains specific actions. To process these actions, the attacker transmits a string with a random delimiter. Each position of the string is then converted to a list, with the first entry representing the command type. |
|
影响 |
T1529 |
System Shutdown/Reboot |
Trojan has capabilities to shut down the compromised system. |
Indicators of Compromise (IoCs):
SHA256 |
File Type |
细节 |
096d7765f278bb0de33fbfa0a15413a2432060d09c99f15c6ca900a6a8a46365 9c6fc9e0854eaf5a0720caab1646f48c7992f6f4051438004598af89102a49eb e0b65087cc83b899d53c153fcfd1420d15e369c3d196325396b50cb75681c27d 485c8bfae3e5c150012e1d630f5d9ae37b786d4b750a9a0adf2b174b7ab85c65 16cc13258a3e63be247c9adf18def0369bb72197bdb3668142bc50a6656047af 2bd6bbe48d0328e4011ce3053e616664a4eb2bf43bd5762cb03be297f786b068 287b39f40ed541585c968b6529c44e9ccdd899bca0b88457907d994c2b5013f4 341a1945f606bcf4c25bce9b850dbddc5125376156cb7f8d14c6ce6bc4b396c3 9160ca25889427b2c2da4d4b14c4a93a707efc2ce07a49d5b8ab1a7f9be8ab55 2d8b10e35c2c2d9675ec693558629450eeee2c8e38f491d38c42de96bddf317a 112edf53d4c560ab71f1b20856ec4d6096e0ea42b0271526b3415c3563300f06 3cbc282c6a51edff4e762267332e1ff2a503f7ba8a7b2a10c9ff404a7bda913b aedffb9cf780bb52c68586ceb238fcaf90253524f06a4a338edc6437409e51c5 2b428df6f76d36ceeebfd37df65ab7893cb6f526afeb9e4494829628f0b9cae8 ae6676ad5b8ba386e88ae045eacc05225a657360963844cdf18db6a45318ea89 ce07ef596772e9cfa6f41000f27244f6f750527639a26c6be0b73033a8e41883 c0833babb2982e36ac7646f7539f6a235a42bcf5375bc080d3ac9d031dc3b903 d44f4db6680d178437e9cfba010ac049f80e5eddf43b3977da819119bb6ca06d 504a5902f20d0a7e3968251849cd88acd31e7fc895fc18d5c82076c5388df5bd 8e614368f99f955c75752df597f97de1dd51b4f0dfeeadc76e1badcc7ca57fc2 3cc58b46d0babd561508d7b67c609e0e9be9a35db9425f1e8a29512a5229665a 5656501522adfe1b08f58cccc1e187cbb7099ef1193a62edd5dfe0d32da4cd7a fb8353e718397dcabd11d9bd8a500ffd54e2a57ac4722a34241757c60ba2bdff ae65738fa81be0b2cfe2f63209db9ed5b928b4b5a1a703ce2a89699a6f192f07 5b3421beb6aaf3fd16831e1456475acac4f8e7c863869fb4d5dc9b1ae0576ef3 6b7a014d0674fe5f145aa2c5dc7674d42e5306d82c3fe7ab0235dcbfd559725f d96c3e8dc899948bf92c377bb4872b19b5983b6eb2d59f00019345293601843c 2a54b7f1327398ccd1c538759201e8699dfad7c53e8e095ea782d862ec48cb92 90ffb18c9d05bf6a61d90c57f299b70702c0e65dac90349b06d5e6833d6d2612 4869fcfda9be32f3cdd48c21bda07aefde496c5f06f235f33ce948169e9744e5 3edcf6a6b6cb254f72f0f2607fa4bb2ecb604475b448c9487e89fc76eb8f896e a0d2c87f4ed6522fdcd8c8d234dca9c7e8831de5faa9445275405ddd0a9104cc 6da5f450f3124e30e8091fda443cb416d29eab4e166a777263e004758acf2e69 10af5c8950b8802851afe96b423d20408b618f80ab54c1a5aef0f1a04c36f331 f6ed73bed9e6b992dbfdee64ff8c9dfde5e3f12c3ec6bbb4e2367fbd2ce75b6f 1ba49976a6e596abb68e2f7ca37407930330a4bf0bd25207057c5a60cb3a4107 798fb8de9bb0434ee0b172793f5b68eb593054538cf5ec96e71a5a0759f6bcc5 c057145da9481a4fff50e69b7e746c19cc95e2d33331539b6b62077169bc4b42 fcb8f32502147dbf8ef44ad99a41d9eaf639bb3d22c4de92a3022f501c9d8cb6 0dea05062d6527ab03f80de87488d278dd333167cdabdf5ef28da760bf252863 3a14ab878697453832306a836e67915d7475481307c65268ceb1f900ff4ec25a |
ZIP |
Malware Delivery |
eb615c093e9b52ed409f426764857e6e42aa85e02adef59d6f1457dcbb90bb40 1bed3755276abd9b54db13882fcf29c543ebf604be3b7fcf060cbd6d68bcd23f 4806617bbc8187a89d5ed73cb818853e306d3699f87bd09940b0ecffdc96091d 1d59bc782e532780da0364b14a1b474a8cb8a5af50c8124159bf5d943bd050f7 |
DLL |
NIM Loader + Coyote banking Trojan |
IP/Domain |
Details |
cloridatosys[.]com flogoral[.]com formitamina[.]com bilatex[.]com autoglobalcar[.]com atendesolucao[.]com angelcallcenter[.]com servicoasso[.]com dowfinanceiro[.]com centralsolucao[.]com gargamellojas[.]com carrodenatal[.]com marvelnatal[.]com nograusistema[.]com navegacaodura[.]com jogodequadra[.]com carrosantigo[.]com bermatechcliente[.]com |
Recently active malicious Coyote C2’s |
Countermeasures
好消息是,黑莓用户可以通过端点保护解决方案(如CylanceENDPOINT™)免受本文中列出的Coyote IoCs的侵害。CylanceENDPOINT利用先进的人工智能在威胁造成损害之前检测到威胁,最大限度地减少了勒索软件攻击期间的业务中断和成本。
YARA Rule
原文始发于微信公众号(HackSee):Coyote银行木马瞄准拉丁美洲,重点是巴西金融机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论