Coyote Banking Trojan
A Fortinet a Coyote Banking Trojan nevű, kifinomult támadást elemzi, amelyet rosszindulatú LNK fájlokon keresztül juttatnak el az áldozatokhoz. Ezek a fájlok PowerShell parancsokat hajtanak végre, amelyek kapcsolódnak távoli szerverekhez, elindítva egy több szakaszból álló támadást. A támadás főként brazil felhasználókat céloz, és célja érzékeny információk, például banki alkalmazások adatait ellopni.
Miután a trójai telepítve van, keyloggert használ, képernyőképeket készít, és adathalász üzeneteket jelenít meg a hitelesítő adatok ellopása érdekében. A támadás PowerShell szkriptet alkalmaz, amely további kártékony payloadokat tölt le, köztük egy MSIL (Microsoft Intermediate Language) fájlt, amely biztosítja a fenntartható hozzáférést és módosítja a Windows rendszerleíró adatbázist. A kártékony kód rendszeradatokat, például felhasználóneveket és vírusirtó információkat gyűjt, majd visszaküldi a távoli szerverekre további kihasználás céljából.
A Coyote Banking Trojan rendkívül hatékony az érzékeny pénzügyi adatok gyűjtésében és egyéb rosszindulatú tevékenységek végrehajtásában.
A Fortinet megosztott az azonosításhoz szükséges indikátorokat.
