
Los usuarios brasileños de Windows son el objetivo de una campaña que ofrece un malware bancario conocido como Coyote.
“Una vez desplegado, el troyano de banca coyote puede llevar a cabo varias actividades maliciosas, que incluyen keylogging, capturar capturas de pantalla y mostrar superposiciones de phishing para robar credenciales sensibles”, investigadora de Fortinet Fortiguard Lin Cara Lin dicho En un análisis publicado la semana pasada.
La compañía de seguridad cibernética dijo que descubrió durante el último mes varios artefactos de archivos de acceso directo de Windows (LNK) que contienen comandos de PowerShell responsables de entregar el malware.
Coyote fue documentado por primera vez por Kaspersky a principios de 2024, detallando sus ataques dirigidos a usuarios en la nación sudamericana. Es capaz de cosechar información confidencial de más de 70 aplicaciones financieras.
En la cadena de ataque anterior documentada por la firma de ciberseguridad rusa, un ejecutable de instalador de ardillas se utiliza para activar una aplicación de nodo.js compilada con Electron, que, por su parte, ejecuta un cargador basado en NIM para activar la ejecución de la carga útil de Coyote malicioso .
La última secuencia de infección, por otro lado, comienza con un archivo LNK que ejecuta un comando PowerShell para recuperar la siguiente etapa de un servidor remoto (“tbet.geontrigame[.]com “), otro script de PowerShell que lanza un cargador responsable de ejecutar una carga útil provisional.
“El código inyectado aprovecha Donut, una herramienta diseñada para descifrar y ejecutar las cargas útiles de MSIL (Microsoft Intermediate Language)”, dijo Lin. “El archivo de ejecución de MSIL descifrado primero establece la persistencia modificando el registro en ‘Hcku Software Microsoft Windows CurrentVersion Run.'”
“Si se encuentra, elimina la entrada existente y crea una nueva con un nombre generado al azar. Esta nueva entrada de registro contiene un comando PowerShell personalizado que apunta a descargar y ejecutar una URL codificada por Base64, que facilita las funciones principales del troyano de banca coyota “
El malware, una vez lanzado, reúne la información básica del sistema y la lista de productos antivirus instalados en el host, después de lo cual los datos están codificados por Base64 y se exfiltran a un servidor remoto. También realiza varias comprobaciones para evadir la detección por sandboxes y entornos virtuales.
Un cambio notable en la última iteración de Coyote es la expansión de su lista de objetivos para abarcar 1,030 sitios y 73 agentes financieros, como mercadobitcoin.com.br, bitcointrade.com.br, foxbit.com.br, agustoshotel.com.br.br.Br , blumenhotelboutique.com.br, y fallshotel.com.br.
Si la víctima intenta acceder a cualquiera de los sitios en la lista, el malware contacta a un servidor controlado por el atacante para determinar el siguiente curso de acción, que puede variar desde capturar una captura de pantalla hasta superposiciones de servicio. Algunas de las otras funciones incluyen mostrar la activación de un keylogger y manipular la configuración de visualización.
“El proceso de infección de Coyote es complejo y múltiple”, dijo Lin. “Este ataque aprovechó un archivo LNK para el acceso inicial, que posteriormente condujo al descubrimiento de otros archivos maliciosos. Este troyano plantea una amenaza significativa para la seguridad cibernética financiera, particularmente porque tiene el potencial de expandirse más allá de sus objetivos iniciales”.







