最近、Coyoteと呼ばれる新たなバンキング型トロイの木馬を発見しました。これは、Windowsアプリケーションのアップデートのインストールと管理のために開発されたSquirrel Installerと呼ばれるツール/ライブラリを利用しています。このマルウェアは、従来のバンキング型トロイの木馬よりも進化しており、今後数日間で脅威レベルがさらに高まる可能性があります。
いくつかの背景:
この新たに発見されたトロイの木馬は、ブラジルの複数の金融機関を標的としており、そのターゲット市場を明示しています。興味深いのは、Squirrel Installerが関与している点です。初期段階ではアップデートパッケージャーを装い、実行されると悪意のあるコードをサイドロードします。
最終ペイロードは.NETで記述されています。Coyote TrojanはCLR(共通言語ランタイム)を読み込み、それを利用して復号化されたアセンブリを実行します。これらはすべてメモリ内で実行されるため、アンチウイルスによる検出を回避できます。
分析:
ロードされる悪意のある dll を調べたところ、ほぼすべてのファイルのエクスポートが同じコードを指していることがわかりました。これにより、実行される可能性が高くなります (図 1)。
議論されているDLLのMD5 - 03eacccb664d517772a33255dff96020
図1. エクスポートにおける類似コード
On 動的分析 DLL、私たちは得た an ムシル メモリ内のペイロード, 捨てられた さらなる分析のために.
図2。 ムシル 記憶から抽出された
抽出されたファイル – ae688dff6f64f1317af09641ae037300
MSIL ペイロード:
MSIL ファイルを静的に確認すると、インデックスに従って呼び出される base64 文字列のリストが表示されます。
図3。 Cインデックスに従って呼び出されるコード
図4. base64文字列の表
これらはAES難読化文字列です それ 復号化されるのは 下記 ルーティーン:
図5. AES復号ルーチン
このプロセスでは、各配列がBase64から変換されます。最初の16バイトが抽出され、array2に割り当てられます。配列の残りの部分は、array3と呼ばれる暗号化されたコードを構成します。各ファイルは固有のキーを持ち、array2はarray3を復号するための初期化ベクトルとして機能します。
動作:
ペイロードはHKCU\Environment\UserInitMprLogonScriptに自身を追加することで永続性を実現します。
図6. 追加 ユーザー初期化ログオンスクリプト 持続性を達成する
走っている間, it 取り の値 フォアグラウンドウィンドウすなわち、 現在の画面 a ユーザーが作業中, そしてそれを銀行のアプリケーションと比較する 名, アプリケーションにハードコードされている。ハードコードされた名前 属する 〜へ 異なるブラジル人 銀行機関. If a ユーザー訪問 どれでも トロイの木馬は 確立する a への接続 CNC 各銀行アプリケーションの詳細、マシン名などの詳細を含むサーバー。
図7。 標的となったブラジルの機関
コマンドと制御:
CoyoteはCnCに接続する前に、リソースから埋め込まれたX.509証明書をインポートします。この証明書は暗号化された状態で保存され、通信における認証および暗号化プロセスに使用されます。
図8。 通信用証明書のインポート
イチジク9. 試みる CNC つながり、 かつて ユーザーが特定のウェブサイトを訪問する(銀行関連)
接続が成功した場合、攻撃者は次のアクションを含む応答文字列を送信します。 しなければなりません 実行される 感染したシステムとその他の詳細情報が記録されます。この応答文字列は 含まれています ランダムセパレーター split 文字列。
イチジク10. 受信した文字列データの処理 CNC
最初の分割文字列の長さ 決定する どのような行動 トロイの木馬は 取る システム上で。私たちは 観測された 25周り or その他のアクション それ それによってサポートされます。
イチジク11. 操作 感染したシステム CNC 応答
以下は、Coyote が実行できるアクションの一部です。
| 長さ | 行動 |
| 10 | 接続を切断する |
| 12 | スクリーンショットを撮ってサーバーにアップロードする |
| 14 | ウィンドウをフォアグラウンドに設定する |
| 15 | ハンドルで識別されるウィンドウを最小化します |
| 16 | ウィンドウをフォアグラウンドに移動して、通常どおりに表示しようとしています。 |
| 17 | プロセスを強制終了する |
| 18 | ウィンドウの操作(例:最大化) |
| 21 | ハンドルを使用してプロセスを開始する |
| 22 | 現在のユーザー スペースでレジストリ値を設定します。 |
| 23 | クリックなどのマウス操作をシミュレートする |
| 24 | キーボードイベントをシミュレートする |
| 26 | デスクトップ ウィンドウ マネージャー (DWM) の構成を無効にする |
| 27 | このスレッドでデリゲートを実行します |
| 31 | キーロギング |
| 33 | キーボードコマンドを処理する |
| 34 | レジストリエントリを反復処理する |
まとめ:
コヨーテ・トロイの木馬は、銀行系トロイの木馬コードの新たな進化を解き放ち、 マルウェア 著者は、私たちが通常目にするよりも新しく、より複雑な手法に頼ります。
MITRE ATT&CK TTP:
| T.1583.004 | インフラストラクチャを取得する |
| T.1037.001 | 起動またはログオンの初期化スクリプト |
| T.1574.002 | DLLサイドローディング |
| T1113 | 画面キャプチャ |
| T1041 | C2チャネルを介した浸透 |
捕捉されたIOC:
5134e6925ff1397fdda0f3b48afec87b
bf9c9cc94056bcdae6e579e724e8dbbd
3f27458d01eb53991770f18983a11a52
c00d8ec2f585c6197b8083951c504e50
7608ab0f1f07dc5842800fdebb0c372c
03eacccb664d517772a33255dff96020
071b6efd6d3ace1ad23ee0d6d3eead76
276f14d432601003b6bf0caa8cd82fec
URL:
carfilmenew[.]com
carroderua[.]com
pepapigdesenho[.]com
nenembebe[.]com
carroeletrificante[.]com
あなたは保護されています:
Seqrite エンジンは、Coyoteトロイの木馬のIOCをTrojan.Coyote.S32693555とTrojan.Coyote.S32879971として検出します。
著者:
キルティ・クシャトリヤ
共著者:
プラシル・ムーン
