Entfernungshinweise für den Banking-Trojaner Coyote
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Coyote?
Coyote ist ein Banking-Trojaner. Diese Malware wurde entwickelt, um sensible Informationen von Geräten zu extrahieren, und sie sucht vor allem nach Daten im Zusammenhang mit Online-Banking. Coyote hat es auf über sechzig brasilianische Banken abgesehen. Diese Schadsoftware ist ausgeklügelt und fährt eine komplexe Infektionskette.
Überblick über Coyote-Malware
Der Infektionsprozess von Coyote ist ziemlich neuartig, insbesondere im Vergleich zu anderer Banking-Malware. Er nutzt Squirrel - ein legitimes Installationsprogramm für die Installation und Aktualisierung von Windows-Desktop-Anwendungen. Sobald das Installationsprogramm gestartet wird, führt es eine Node.js-Anwendung aus, die verschleiertes JavaScript ausführt. Das Ziel dieses Codes ist es, eine echte Software zu starten, die für die weitere Infektionsphase durch DLL-Side-Loading erforderlich ist.
Bei dieser Technik wird der DLL-Suchauftragsmechanismus von Windows verwendet, um eine legitime Anwendung zur Ausführung der bösartigen Nutzlast zu nutzen. Es wurde festgestellt, dass mehrere ausführbare Dateien verwendet werden, um das DLL-Side-Loading zu erleichtern, darunter solche, die mit Google Chrome und OBS Studio zusammenhängen.
Anstelle der echten ausführbaren Datei wird eine bösartige DLL ausgeführt, die zur Einführung eines in der Programmiersprache Nim geschriebenen Loaders führt. Dieser Lader entpackt und startet die ausführbare Datei von Coyote.
Nachdem der Trojaner seine Persistenz hergestellt und eine Verbindung zu seinem C&C-Server (Command and Control) hergestellt hat, beginnt er, das System nach relevanten Daten zu durchsuchen und geöffnete Anwendungen zu überwachen.
Zum Zeitpunkt der Erstellung dieses Berichts umfasste die Zielliste von Coyote 61 brasilianische Banken. Sobald eine Bankanwendung oder Website von Interesse geöffnet wird, kann der Trojaner mehrere Funktionen nutzen, um die gewünschten Informationen zu erhalten.
Die Malware kann Screenshots erstellen, Tastatureingaben aufzeichnen (Keylogging), Fenster- und Vollbild-Overlays einblenden und den Cursor manipulieren. Die Phishing-Overlays imitieren Schnittstellen von Bankanwendungen und -seiten und zeichnen eingegebene Daten auf (z. B. Anmeldedaten, Transaktionsdetails, Kreditkartennummern usw.).
Darüber hinaus kann Coyote Overlays anzeigen, die vorgeben, dass die Bankseite gerade aktualisiert wird, und so die Benutzer an der Interaktion mit ihren Geräten hindern. Weitere Fähigkeiten dieser Malware sind das Beenden von Prozessen und das Herunterfahren des Betriebssystems.
Es muss erwähnt werden, dass es für Malware-Entwickler nicht ungewöhnlich ist, ihre Software und Methoden zu aktualisieren - daher könnten mögliche zukünftige Versionen von Coyote zusätzliche/andere Funktionen oder Merkmale haben.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie Coyote auf Geräten zu schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Coyote banking malware |
| Bedrohung Typ | Trojaner, Banking-Malware. |
| Namen der Erkennung | Avast (Win64:Evo-gen [Trj]), Combo Cleaner (Gen:Variant.Tedy.482127), ESET-NOD32 (Eine Variante von MSIL/Spy.Banker_AGen.D), Kaspersky (Trojan-Banker.MSIL.Coyote.c), Microsoft (Trojan:Win32/Casdet!rfn), Vollständige Liste der Erkennungen (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Diebstahl von Passwörtern und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Banking-Trojaner
Wir haben Tausende von Malware-Samples untersucht; BBTok, Ares und Javali sind nur einige unserer Artikel über Banking-Trojaner.
Schadsoftware kann eine Vielzahl von Zwecken und Fähigkeiten haben. Unabhängig davon, wie Malware funktioniert, bedroht ihr Vorhandensein auf einem System die Integrität des Geräts und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie hat Coyote meinen Computer infiltriert?
Die genauen Verbreitungsmethoden für Coyote sind unbekannt. Im Allgemeinen nutzen Cyber-Kriminelle zu diesem Zweck hauptsächlich Phishing und Social-Engineering Techniken.
Schadprogramme sind in der Regel als normale Software-/Mediendateien getarnt oder mit ihnen gebündelt. Sie kommen in verschiedenen Formaten daher, z. B. als ausführbare Dateien (.exe, .run usw.), Archive (ZIP, RAR usw.), Dokumente (Microsoft Office, Microsoft OneNote, PDF usw.), JavaScript und so weiter. Sobald eine solche Datei ausgeführt, gestartet oder anderweitig geöffnet wird, wird die Infektionskette in Gang gesetzt.
Zu den am häufigsten verwendeten Verbreitungsmethoden gehören: nicht vertrauenswürdige Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Tauschbörsen usw.), Drive-by-Downloads (heimliche/trügerische Downloads), bösartige Anhänge/Links in Spam (z. B. E-Mails, DMs/PMs, Beiträge in sozialen Medien usw.), Online-Betrug, Malvertising, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, beim Surfen wachsam zu sein, da betrügerische und bösartige Online-Inhalte meist echt und harmlos erscheinen. Eine weitere Empfehlung ist, bei eingehenden E-Mails und anderen Nachrichten vorsichtig zu sein. Anhänge oder Links, die in verdächtigen E-Mails gefunden werden, dürfen nicht geöffnet werden, da sie infektiös sein können.
Außerdem müssen alle Downloads über offizielle und verifizierte Kanäle erfolgen. Wir raten dazu, Software über legitime Funktionen/Tools zu aktivieren und zu aktualisieren, da die von Dritten bezogenen Programme Malware enthalten können.
Es ist von größter Wichtigkeit, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitsprogramme müssen verwendet werden, um regelmäßige Systemüberprüfungen durchzuführen und erkannte Bedrohungen zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Update 3. Februar 2025: Die Coyote-Malware wird jetzt über bösartige LNK-Dateien (Verknüpfungen) verbreitet, die für den ersten Zugriff verwendet werden. Wenn die LNK-Dateien geöffnet werden, führen sie bösartige PowerShell-Skripte aus, die eine Verbindung zu Remote-Servern herstellen. Diese Skripte laden den Loader herunter, der die nächste Stufe des Angriffs einleitet.
Screenshot der LNK-Datei mit dem PowerShell-Befehl, der eine Verbindung zu einem Remote-Server als Ziel herstellt:
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist Coyote?
- SCHRITT 1. Manuelle Entfernung von Coyote-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit Coyote-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten solch drastische Maßnahmen.
Was sind die größten Probleme, die Coyote-Malware verursachen kann?
Die mit einer Infektion verbundenen Bedrohungen hängen von den Funktionalitäten der Malware und den Zielen der Angreifer ab. Coyote hat es vor allem auf Bankdaten abgesehen. Zu den wahrscheinlichsten Gefahren gehören daher schwerwiegende Datenschutzprobleme, finanzielle Verluste und Identitätsdiebstahl.
Was ist der Zweck von Coyote-Malware?
Malware wird in der Regel eingesetzt, um Einnahmen zu generieren, und basierend auf den Fähigkeiten von Coyote ist dies auch der Zweck dieses Trojaners. Cyber-Kriminelle können Schadsoftware jedoch auch einsetzen, um sich selbst zu amüsieren, persönliche Rachefeldzüge durchzuführen, Prozesse zu stören (z. B. Websites, Dienste, Unternehmen usw.) und sogar politisch/geopolitisch motivierte Angriffe zu starten.
Wie ist die Coyote-Malware in meinen Computer eingedrungen?
Malware wird hauptsächlich über Drive-by-Downloads, Online-Betrug, Spam-Mails, dubiose Download-Kanäle (z. B. Freeware und kostenlose Filehosting-Websites, Peer-to-Peer-Sharing-Netzwerke usw.), Malvertising, illegale Programmaktivierungs-Tools ("Cracking") und gefälschte Updates verbreitet. Außerdem können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Ja, Combo Cleaner wurde entwickelt, um Geräte zu scannen und alle Arten von Bedrohungen zu beseitigen. Es ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu entfernen. Beachten Sie, dass ein vollständiger Systemscan unerlässlich ist, da sich High-End-Malware in der Regel tief im System versteckt.
Ausgezeichnet!
▼ Diskussion einblenden