Revelado novo trojan bancário com táticas avançadas de evasão

Um novo e sofisticado trojan bancário que rouba informação financeira sensível e introduz táticas avançadas para evitar a deteção foi descoberto pela Equipa Global de Investigação e Análise (GReAT) da Kaspersky. Apelidado de ‘Coyote’, este malware depende do instalador Squirrel para ser distribuído, sendo o seu nome inspirado nos coiotes, os predadores naturais dos esquilos.

Os especialistas da Kaspersky identificaram o ‘Coyote’, um novo e sofisticado trojan bancário que utiliza táticas avançadas de evasão para roubar informações financeiras sensíveis. Tendo como alvo principal os utilizadores afiliados a mais de 60 instituições bancárias no Brasil, o Coyote utiliza o instalador Squirrel para a sua distribuição – um método raramente associado à entrega de malware. Os investigadores da Kaspersky analisaram e identificaram todo o processo de infeção do Coyote.

Em vez de seguir o caminho habitual com instaladores bem conhecidos, o Coyote escolheu uma ferramenta relativamente nova, o Squirrel, para instalar e atualizar as aplicações do Windows. Desta forma, o Coyote esconde seu carregador de estágio inicial fingindo que é apenas um empacotador de atualizações.

O que torna o Coyote ainda mais desafiante é a utilização do Nim, uma linguagem de programação moderna e multiplataforma, como carregador para a fase final do processo de infeção. Isto está em linha com uma tendência observada pela Kaspersky, em que os cibercriminosos utilizam linguagens menos populares e multiplataforma, demonstrando a sua adaptabilidade às últimas tendências tecnológicas.

O objetivo do Trojan está alinhado com o comportamento típico de um Trojan bancário, monitorizando o acesso a sites bancários específicos. Uma efetivado o acesso ao site, o Coyote ‘conversa’ com o seu servidor de comando e controlo usando canais SSL com autenticação mútua. O uso de comunicação encriptada pelo trojan e a sua capacidade de realizar ações específicas, como keylogging e captura de ecrã, destacam a sua natureza avançada. Este malware pode até pedir passwords específicas de cartões bancários e configurar uma página falsa para adquirir credenciais de utilizador.

Os dados de telemetria da Kaspersky mostram que cerca de 90% das infeções por Coyote vêm do Brasil, causando um grande impacto na cibersegurança financeira do país.

“Nos últimos três anos, o número de ataques de trojans bancários quase duplicou, atingindo mais de 18 milhões em 2023. Isto mostra que os desafios de segurança online estão a aumentar. À medida que lidamos com o crescente número de ciberameaças, é realmente importante que as pessoas e as empresas protejam os seus ativos digitais. A ascensão do Coyote, um novo tipo de Trojan bancário, lembra-nos de ter cuidado e usar as defesas mais recentes para manter as nossas informações importantes em segurança”, sublinha Fabio Assolini, chefe da Equipa de Investigação e Análise Global da América Latina (GReAT) da Kaspersky, em comunicado.