«Este malware utiliza el instalador Squirrel para su distribución, aprovechando Node.js y un lenguaje de programación multiplataforma relativamente nuevo llamado Nim como cargador para completar su infección», dijo la firma rusa de ciberseguridad Kaspersky en un informe del jueves.
Lo que hace que Coyote sea diferente de otros troyanos bancarios de su tipo es el uso del marco de código abierto Squirrel para instalar y actualizar aplicaciones de Windows. Otro cambio notable es el cambio de Delphi (que prevalece entre las familias de malware bancario dirigidas a América Latina) a un lenguaje de programación poco común como Nim.
En la cadena de ataque documentada por Kaspersky, se utiliza un ejecutable del instalador Squirrel como plataforma de lanzamiento para una aplicación Node.js compilada con Electron, que, a su vez, ejecuta un cargador basado en Nim para desencadenar la ejecución de la carga maliciosa Coyote mediante Carga lateral de DLL .
La biblioteca maliciosa de vínculos dinámicos, denominada «libcef.dll», se carga lateralmente mediante un ejecutable legítimo llamado «obs-browser-page.exe», que también se incluye en el proyecto Node.js. Vale la pena señalar que el libcef.dll original es parte de Chromium Embedded Framework (CEF).
Coyote, una vez ejecutado, «monitorea todas las aplicaciones abiertas en el sistema de la víctima y espera a que se acceda a la aplicación bancaria o al sitio web específico», contactando posteriormente a un servidor controlado por el actor para obtener directivas de la siguiente etapa.
Tiene la capacidad de ejecutar una amplia gama de comandos para tomar capturas de pantalla, registrar pulsaciones de teclas, finalizar procesos, mostrar superposiciones falsas, mover el cursor del mouse a una ubicación específica e incluso apagar la máquina. También puede bloquear completamente la máquina con un mensaje falso «Trabajando en actualizaciones…» mientras ejecuta acciones maliciosas en segundo plano.
«La incorporación de Nim como cargador añade complejidad al diseño del troyano», afirmó Kaspersky. «Esta evolución destaca la creciente sofisticación dentro del panorama de amenazas y muestra cómo los actores de amenazas se están adaptando y utilizando los últimos lenguajes y herramientas en sus campañas maliciosas».
El acontecimiento se produce cuando las autoridades brasileñas desmantelaron la operación Grandoreiro y emitieron cinco órdenes de arresto temporales y 13 órdenes de búsqueda e incautación para los autores intelectuales detrás del malware en cinco estados brasileños.
También sigue al descubrimiento de un nuevo ladrón de información basado en Python que está relacionado con los arquitectos vietnamitas asociados con MrTonyScam y distribuido a través de documentos de Microsoft Excel y Word con trampas explosivas.
El ladrón «recopila cookies de navegadores y datos de inicio de sesión […] de una amplia gama de navegadores, desde navegadores familiares como Chrome y Edge hasta navegadores centrados en el mercado local, como el navegador Cốc Cốc», dijo Fortinet FortiGuard Labs en un informe publicado esta semana.
Fuente y redacción: thehackernews.com