Coyoteは、60以上の銀行機関を対象にした新型マルウェアで、Squirrelインストーラーを利用して感染を拡大しています。SquirrelはWindowsデスクトップアプリケーションのインストールと更新に使われるツールで、Coyoteはこれを悪用して初期段階のローダーを隠します。さらに、Node.jsとNimというプログラミング言語を使用してマルウェアのローディングを完了させます。
感染プロセスでは、Squirrelが実行されるとNodeJSアプリケーションが起動し、JavaScriptコードが実行されます。このコードは、ローカルフォルダ内の実行可能ファイルをユーザーのキャプチャフォルダにコピーし、そこから署名されたアプリケーションを実行します。ローダーとしてはNimが使用され、.NET実行可能ファイルをメモリ内で実行します。
Coyoteの主な機能は、Windowsログオンスクリプトを悪用して持続性を確保し、特定の銀行アプリケーションやウェブサイトのアクセスを待ち受けることです。主にブラジルの銀行を狙い、61以上の関連アプリケーションを監視しています。Coyoteは銀行関連アプリケーションの実行時にC2サーバーと通信し、キーロギングからスクリーンショットまでのさまざまなアクションを実行します。
Coyoteは従来のDelphiやMSIインストーラーとは異なる感染方法を採用しており、開発者はNode.jsや.NETなどの最新技術に精通しています。Nimをローダーとして使用することで、その複雑さを増しています。このマルウェアの進化は、脅威のランドスケープが高度化していることを示し、脅威アクターが最新の言語やツールを悪意あるキャンペーンに活用していることを示しています。
【ニュース解説】
最近、ブラジルを中心に60以上の銀行機関を狙った新型のバンキングトロイの木馬「Coyote」が発見されました。このマルウェアは、Windowsデスクトップアプリケーションのインストールと更新に使用されるSquirrelインストーラーを悪用して、感染を広げるという特徴を持っています。Squirrelを通じて、初期段階のローダーを隠し、さらにNode.jsとNimという比較的新しいプログラミング言語を使用して、マルウェアのローディングを完了させるという複雑な感染プロセスを経ています。
Squirrelが実行されると、NodeJSアプリケーションが起動し、難読化されたJavaScriptコードを実行します。このコードは、ローカルフォルダ内の実行可能ファイルをユーザーのキャプチャフォルダにコピーし、そこから署名されたアプリケーションを実行することで、さらなる感染を進めます。Nimを使用したローダーは、.NET実行可能ファイルをメモリ内で実行することを目的としており、これにより最終段階のトロイの木馬が実行されます。
Coyoteは、Windowsログオンスクリプトを悪用して持続性を確保し、ユーザーが特定の銀行アプリケーションやウェブサイトにアクセスするのを待ち受けます。このトロイの木馬は、主にブラジルの銀行を狙っており、61以上の関連アプリケーションを監視しています。銀行関連アプリケーションが実行されると、CoyoteはC2サーバーと通信し、キーロギングからスクリーンショットの撮影まで、さまざまなアクションを実行します。
Coyoteの開発者は、従来のDelphiやMSIインストーラーとは異なる感染方法を採用し、Node.jsや.NETなどの最新技術に精通しています。Nimをローダーとして使用することで、その複雑さを増しており、このマルウェアの進化は、脅威のランドスケープが高度化していることを示しています。脅威アクターが最新の言語やツールを悪意あるキャンペーンに活用していることが明らかになり、セキュリティ対策の重要性が一層高まっています。
このような高度な技術を駆使したマルウェアの出現は、サイバーセキュリティの専門家にとって新たな挑戦を意味します。特に、従来の検出手法では見過ごされがちな新しい手法や言語を使用した攻撃に対して、より高度な分析技術や対策が求められるでしょう。また、一般のユーザーにとっても、ソフトウェアの更新やセキュリティ対策の重要性が改めて強調される事態と言えます。
from Coyote: A multi-stage banking Trojan abusing the Squirrel installer.
“新型マルウェア「Coyote」、60銀行標的にSquirrel悪用拡散” への1件のコメント
このCoyoteという新型マルウェアの出現について聞いて、本当に驚きましたね。営業セールスマンとして、日々様々な企業やお客様と接している中で、情報セキュリティの重要性は常に頭の片隅にあります。特に、私たちのような製薬会社では、機密性の高い情報が多いため、このようなマルウェアの脅威は非常に深刻な問題です。
CoyoteがSquirrelインストーラーを悪用し、Node.jsやNimといった最新技術を使って感染を広げている点は、脅威アクターが常に一歩先を行っていることを示しています。これは、セキュリティ対策も絶えず進化していなければならないことを意味していますね。
私自身、あまり技術的な知識はありませんが、このような情報を知ることで、改めて自分のパソコンやスマートフォンのセキュリティ対策を見直すきっかけになります。また、会社としても、従業員へのセキュリティ研修の強化や、最新のセキュリティ対策を導入することの重要性を再認識する必要があると感じます。
さらに、私たちが日常的に利用している銀行アプリケーションやウェブサイトが狙われているということは、企業だけでなく、一般の