Ein neuer Banking-Trojaner namens Coyote richtet sich derzeit an 61 Bankinstitute in Brasilien. Das Besondere an diesem Malware ist die Verwendung des Open-Source-Squirrel-Frameworks zur Installation und Aktualisierung von Windows-Anwendungen. Darüber hinaus verwendet der Trojaner ungewöhnliche Programmiersprachen wie Nim anstelle von Delphi, welches bei den meisten Banking-Malware-Familien in Lateinamerika verbreitet ist.
Der Angriffsprozess sieht wie folgt aus: Ein Squirrel-Installer-Programm wird als Startpunkt für eine mit Electron kompilierte Node.js-Anwendung verwendet. Diese läuft dann mit Hilfe eines auf Nim basierenden Loaders, um die Ausführung der schädlichen Coyote- Nutzlast mittels DLL-Side-Loading auszulösen. Die schädliche Dynamic-Link-Bibliothek mit dem Namen „libcef.dll“ wird mithilfe einer legitimen ausführbaren Datei namens „obs-browser-page.exe“ durch Side-Loading geladen. Diese Datei ist ebenfalls Teil des Node.js-Projekts.
Coyote überwacht alle geöffneten Anwendungen auf dem Computersystem des Opfers und wartet darauf, dass die spezifische Banking-Anwendung oder -Website aufgerufen wird. Danach kontaktiert der Trojaner einen server der von den Angreifern kontrolliert wird, um weitere Befehle zu erhalten. Coyote hat die Fähigkeit, eine Vielzahl von Befehlen auszuführen, um Screenshots zu machen, Tastatureingaben zu protokollieren, Prozesse zu beenden, gefälschte Overlay-Anzeigen anzuzeigen, den Mauszeiger an einen bestimmten Ort zu bewegen und sogar den Computer herunterzufahren. Es kann auch die Maschine mit einer gefälschten „Arbeiten an Updates…“-Meldung blockieren, während im Hintergrund böswillige Aktionen ausgeführt werden.
Die Verwendung von Nim als Loader macht den Trojaner komplexer in seinem Design. Dies zeigt die zunehmende Raffinesse in der Bedrohungslandschaft und wie Angreifer die neuesten Sprachen und Tools in ihren böswilligen Kampagnen nutzen.
Gleichzeitig hat die brasilianische Strafverfolgungsbehörde die Operation Grandoreiro zerschlagen und fünf vorübergehende Haftbefehle sowie 13 Durchsuchungs- und Beschlagnahmebefehle in fünf brasilianischen Bundesstaaten erlassen, um die Urheber hinter dieser Malware zu finden. Darüber hinaus wurde ein Python-basierter Information-Stealer entdeckt, der mit den vietnamesischen Architekten in Verbindung gebracht wird, die mit MrTonyScam assoziiert sind. Dieser Stealer wird über präparierte Microsoft Excel- und Word-Dokumente verteilt und sammelt Cookies und Anmeldedaten von einer Vielzahl von Browsern.