Эксперты "Лаборатории Касперского" обнаружили банковский троян Coyote, нацеленный на пользователей более чем 60 банковских учреждений, преимущественно из Бразилии. Вредоносная программа отличается сложной цепочкой заражения, в которой используются различные передовые технологии, отличающие Coyote от других банковских троянцев.
Отличительной особенностью программы является использование инструмента установки и обновления приложений Windows под названием Squirrel для распространения. Загрузчиком для завершения заражения является NodeJS, а финальная стадия загружается с помощью языка программирования Nim. Весь процесс заражения хорошо скрывается и сложно обнаружить. Вредоносная программа "Койот" следит за открытыми приложениями на компьютере жертвы и ожидает доступа к банковскому приложению или веб-сайту. Программа использует шифрование AES для защиты своего кода и данных. Анализ данной программы показал, что она связана с бразильскими банками, что указывает на ее целью является кража финансовых данных пользователей.
Indicators of Compromise
Domains
- atendesolucao.com
- centralsolucao.com
- diadaacaodegraca.com
- dowfinanceiro.com
- segurancasys.com
- servicoasso.com
- traktinves.com
MD5
- 03eacccb664d517772a33255dff96020
- 071b6efd6d3ace1ad23ee0d6d3eead76
- 276f14d432601003b6bf0caa8cd82fec
- 5134e6925ff1397fdda0f3b48afec87b
- bf9c9cc94056bcdae6e579e724e8dbbd