Coyoteは、60以上の銀行機関を対象にした新型マルウェアで、Squirrelインストーラーを利用して感染を拡大しています。SquirrelはWindowsデスクトップアプリケーションのインストールと更新に使われるツールで、Coyoteはこれを悪用して初期段階のローダーを隠します。さらに、Node.jsとNimというプログラミング言語を使用してマルウェアのローディングを完了させます。
感染プロセスでは、Squirrelが実行されるとNodeJSアプリケーションが起動し、JavaScriptコードが実行されます。このコードは、ローカルフォルダ内の実行可能ファイルをユーザーのキャプチャフォルダにコピーし、そこから署名されたアプリケーションを実行します。ローダーとしてはNimが使用され、.NET実行可能ファイルをメモリ内で実行します。
Coyoteの主な機能は、Windowsログオンスクリプトを悪用して持続性を確保し、特定の銀行アプリケーションやウェブサイトのアクセスを待ち受けることです。主にブラジルの銀行を狙い、61以上の関連アプリケーションを監視しています。Coyoteは銀行関連アプリケーションの実行時にC2サーバーと通信し、キーロギングからスクリーンショットまでのさまざまなアクションを実行します。
Coyoteは従来のDelphiやMSIインストーラーとは異なる感染方法を採用しており、開発者はNode.jsや.NETなどの最新技術に精通しています。Nimをローダーとして使用することで、その複雑さを増しています。このマルウェアの進化は、脅威のランドスケープが高度化していることを示し、脅威アクターが最新の言語やツールを悪意あるキャンペーンに活用していることを示しています。
【ニュース解説】
最近、ブラジルを中心に60以上の銀行機関を狙った新型のバンキングトロイの木馬「Coyote」が発見されました。このマルウェアは、Windowsデスクトップアプリケーションのインストールと更新に使用されるSquirrelインストーラーを悪用して、感染を広げるという特徴を持っています。Squirrelを通じて、初期段階のローダーを隠し、さらにNode.jsとNimという比較的新しいプログラミング言語を使用して、マルウェアのローディングを完了させるという複雑な感染プロセスを経ています。
Squirrelが実行されると、NodeJSアプリケーションが起動し、難読化されたJavaScriptコードを実行します。このコードは、ローカルフォルダ内の実行可能ファイルをユーザーのキャプチャフォルダにコピーし、そこから署名されたアプリケーションを実行することで、さらなる感染を進めます。Nimを使用したローダーは、.NET実行可能ファイルをメモリ内で実行することを目的としており、これにより最終段階のトロイの木馬が実行されます。
Coyoteは、Windowsログオンスクリプトを悪用して持続性を確保し、ユーザーが特定の銀行アプリケーションやウェブサイトにアクセスするのを待ち受けます。このトロイの木馬は、主にブラジルの銀行を狙っており、61以上の関連アプリケーションを監視しています。銀行関連アプリケーションが実行されると、CoyoteはC2サーバーと通信し、キーロギングからスクリーンショットの撮影まで、さまざまなアクションを実行します。
Coyoteの開発者は、従来のDelphiやMSIインストーラーとは異なる感染方法を採用し、Node.jsや.NETなどの最新技術に精通しています。Nimをローダーとして使用することで、その複雑さを増しており、このマルウェアの進化は、脅威のランドスケープが高度化していることを示しています。脅威アクターが最新の言語やツールを悪意あるキャンペーンに活用していることが明らかになり、セキュリティ対策の重要性が一層高まっています。
このような高度な技術を駆使したマルウェアの出現は、サイバーセキュリティの専門家にとって新たな挑戦を意味します。特に、従来の検出手法では見過ごされがちな新しい手法や言語を使用した攻撃に対して、より高度な分析技術や対策が求められるでしょう。また、一般のユーザーにとっても、ソフトウェアの更新やセキュリティ対策の重要性が改めて強調される事態と言えます。
from Coyote: A multi-stage banking Trojan abusing the Squirrel installer.
