В последний месяц лаборатория FortiGuard Labs выявила несколько LNK-файлов, содержащих вредоносные скрипты PowerShell, которые в конечном итоге устанавливают банковский троян Coyote, который нацелен на пользователей в Бразилии. Троян может собирать конфиденциальную информацию из финансовых приложений и веб-сайтов, выполнять кейлоггинг, захватывать скриншоты и отображать фишинговые надписи для кражи учетных данных.
Coyote Trojan
Анализ метаданных вредоносных LNK-файлов позволил выявить связи с другими LNK-файлами, связанными с трояном Coyote. Эти файлы содержат ссылки на удаленные серверы, к которым установлено соединение после выполнения скрипта PowerShell в LNK-файле. Таким образом, троян может продолжать атаку, выполняя дополнительные этапы.
Содержимое файла "zxchzzmism" является дополнительным сценарием PowerShell, который декодирует и выполняет встроенный шелл-код. Затем загрузчик DLL-файла "bmwiMcDec" внедряет полезную нагрузку "npuGDec", передающую управление следующему этапу атаки.
Используя инструмент Donut, внедренный код расшифровывает и выполняет MSIL-полезную нагрузку. Расшифрованный MSIL-файл изменяет реестр для обеспечения постоянства и устанавливает команду PowerShell для загрузки и выполнения Base64-кодированного URL. Целевой URL-адрес для этой операции - "hxxps://yezh[.]geontrigame[.]com/vxewhcacbfqnsw". Банковский троянц Coyote также собирает системную информацию и отправляет ее на удаленный сервер.
Indicators of Compromise
Domains
- geraatualiza.com
- geraupdate.com
- masterdow.com
URLs
- https://bhju.daowsistem.com/iwywybzqxk
- https://btee.geontrigame.com/mvkrouhawm
- https://cxmp.scortma.com/qfutdbtqqu
- https://igow.scortma.com/fqieghffbm
- https://leme.daowsistem.com/omzowcicwp
- https://lgfd.daowsistem.com/riqojhyvnr
- https://llue.geontrigame.com/byyyfydxyf
- https://qfab.geontrigame.com/vfofnzihsm
- https://qmnw.daowsistem.com/fayikyeund
- https://quit.scortma.com/xzcpnnfhxi
- https://tbet.geontrigame.com/zxchzzmism
- https://xrxw.scortma.com/gmdroacyvi
- https://yezh.geontrigame.com/vxewhcacbfqnsw
SHA256
- 330dffe834ebbe4042747bbe00b4575629ba8f2507bccf746763cacf63d655bb
- 33cba89eeeaf139a798b7fa07ff6919dd0c4c6cf4106b659e4e56f15b5809287
- 362af8118f437f9139556c59437544ae1489376dc4118027c24c8d5ce4d84e48
- 552d53f473096c55a3937c8512a06863133a97c3478ad6b1535e1976d1e0d45f
- 64209e2348e6d503ee518459d0487d636639fa5e5298d28093a5ad41390ef6b0
- 67f371a683b2be4c8002f89492cd29d96dceabdbfd36641a27be761ee64605b1
- 73ad6be67691b65cee251d098f2541eef3cab2853ad509dac72d8eff5bd85bc0
- 7cbfbce482071c6df823f09d83c6868d0b1208e8ceb70147b64c52bb8b48bdb8
- 839de445f714a32f36670b590eba7fc68b1115b885ac8d689d7b344189521012
- bea4f753707eba4088e8a51818d9de8e9ad0138495338402f05c5c7a800695a6
- f3c37b1de5983b30b9ae70c525f97727a56d3874533db1a6e3dc1355bfbf37ec
- fd0ef425d34b56d0bc08bd93e6ecb11541bd834b9d4d417187373b17055c862e
