Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Coyote обходит защиту Windows через обычные ярлыки

04/02/25

hack192-4

Пользователи Windows в Бразилии столкнулись с новой кибератакой, распространяющей банковский троян Coyote. Вредоносное ПО крадёт данные более чем 70 финансовых приложений, используя сложную многоступенчатую схему заражения.

По данным специалистов из Fortinet, троян обладает широкими возможностями: фиксирует нажатия клавиш, делает скриншоты и подменяет интерфейсы банковских сайтов, чтобы перехватить учётные данные. Распространение вредоносного кода осуществляется через ярлыки Windows (LNK), содержащие PowerShell-команды, пишет Securitylab.

Изначально Coyote был обнаружен в начале 2024 года «Лабораторией Касперского», когда атака использовала установщик Squirrel, который запускал приложение Node.js на базе Electron, а затем выполнял вредоносный загрузчик на языке Nim.

В обновлённой версии схемы заражения вредонос распространяется через LNK-файл, который выполняет команду PowerShell и загружает дополнительный скрипт с удалённого сервера. Этот скрипт запускает промежуточный загрузчик, ответственный за выполнение основного вредоносного кода.

Дальнейший этап включает использование инструмента Donut, позволяющего расшифровать и запустить исполняемый файл на языке MSIL (Microsoft Intermediate Language). Для обеспечения постоянного присутствия в системе троян изменяет реестр Windows, создавая запись в разделе HCKU\Software\Microsoft\Windows\CurrentVersion\Run. Эта запись запускает скрытую команду PowerShell, скачивающую и исполняющую зашифрованный код с удалённого ресурса.

После запуска Coyote собирает информацию об устройстве, список установленных антивирусов и передаёт эти данные злоумышленникам. Вредоносное ПО также анализирует окружение системы, чтобы избежать обнаружения в песочницах и виртуальных машинах.

В новой версии трояна значительно расширен список целевых сайтов и организаций. Теперь он атакует свыше тысячи веб-ресурсов, включая криптовалютные биржи, а также гостиничные сервисы. Если пользователь посещает один из сайтов из списка, вредонос связывается с сервером атакующих и может активировать кейлоггер, сделать скриншот или изменить интерфейс страницы.

Исследователи отмечают, что многоэтапный процесс заражения делает Coyote особенно опасным. Использование LNK-файлов на первом этапе позволяет ему обходить традиционные механизмы защиты, а сложная структура вредоносного кода затрудняет его обнаружение и анализ.

Темы:WindowsУгрозыFortinetЮжная Америка
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...