{"id":1563115,"date":"2025-02-03T21:29:06","date_gmt":"2025-02-03T21:29:06","guid":{"rendered":"https:\/\/teknomers.com\/es\/coyote-malware-expande-el-alcance-ahora-se-dirige-a-1030-sitios-y-73-instituciones-financieras\/"},"modified":"2025-02-03T21:29:10","modified_gmt":"2025-02-03T21:29:10","slug":"coyote-malware-expande-el-alcance-ahora-se-dirige-a-1030-sitios-y-73-instituciones-financieras","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/coyote-malware-expande-el-alcance-ahora-se-dirige-a-1030-sitios-y-73-instituciones-financieras\/","title":{"rendered":"Coyote Malware expande el alcance: ahora se dirige a 1,030 sitios y 73 instituciones financieras"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad financiera \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Coyote-Malware-expande-el-alcance-ahora-se-dirige-a-1030.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los usuarios brasile\u00f1os de Windows son el objetivo de una campa\u00f1a que ofrece un malware bancario conocido como <strong>Coyote<\/strong>.<\/p>\n<p>&#8220;Una vez desplegado, el troyano de banca coyote puede llevar a cabo varias actividades maliciosas, que incluyen keylogging, capturar capturas de pantalla y mostrar superposiciones de phishing para robar credenciales sensibles&#8221;, investigadora de Fortinet Fortiguard Lin Cara Lin <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/coyote-banking-trojan-a-stealthy-attack-via-lnk-files\" target=\"_blank\">dicho<\/a> En un an\u00e1lisis publicado la semana pasada.<\/p>\n<p>La compa\u00f1\u00eda de seguridad cibern\u00e9tica dijo que descubri\u00f3 durante el \u00faltimo mes varios artefactos de archivos de acceso directo de Windows (LNK) que contienen comandos de PowerShell responsables de entregar el malware.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Coyote fue documentado por primera vez por Kaspersky a principios de 2024, detallando sus ataques dirigidos a usuarios en la naci\u00f3n sudamericana. Es capaz de cosechar informaci\u00f3n confidencial de m\u00e1s de 70 aplicaciones financieras.<\/p>\n<p>En la cadena de ataque anterior documentada por la firma de ciberseguridad rusa, un ejecutable de instalador de ardillas se utiliza para activar una aplicaci\u00f3n de nodo.js compilada con Electron, que, por su parte, ejecuta un cargador basado en NIM para activar la ejecuci\u00f3n de la carga \u00fatil de Coyote malicioso .<\/p>\n<p>La \u00faltima secuencia de infecci\u00f3n, por otro lado, comienza con un archivo LNK que ejecuta un comando PowerShell para recuperar la siguiente etapa de un servidor remoto (&#8220;tbet.geontrigame[.]com &#8220;), otro script de PowerShell que lanza un cargador responsable de ejecutar una carga \u00fatil provisional.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738618145_52_Coyote-Malware-expande-el-alcance-ahora-se-dirige-a-1030.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738618145_52_Coyote-Malware-expande-el-alcance-ahora-se-dirige-a-1030.png\" alt=\"\" border=\"0\" data-original-height=\"586\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;El c\u00f3digo inyectado aprovecha Donut, una herramienta dise\u00f1ada para descifrar y ejecutar las cargas \u00fatiles de MSIL (Microsoft Intermediate Language)&#8221;, dijo Lin. &#8220;El archivo de ejecuci\u00f3n de MSIL descifrado primero establece la persistencia modificando el registro en &#8216;Hcku  Software  Microsoft  Windows  CurrentVersion  Run.'&#8221;<\/p>\n<p>&#8220;Si se encuentra, elimina la entrada existente y crea una nueva con un nombre generado al azar. Esta nueva entrada de registro contiene un comando PowerShell personalizado que apunta a descargar y ejecutar una URL codificada por Base64, que facilita las funciones principales del troyano de banca coyota &#8220;<\/p>\n<p>El malware, una vez lanzado, re\u00fane la informaci\u00f3n b\u00e1sica del sistema y la lista de productos antivirus instalados en el host, despu\u00e9s de lo cual los datos est\u00e1n codificados por Base64 y se exfiltran a un servidor remoto. Tambi\u00e9n realiza varias comprobaciones para evadir la detecci\u00f3n por sandboxes y entornos virtuales.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un cambio notable en la \u00faltima iteraci\u00f3n de Coyote es la expansi\u00f3n de su lista de objetivos para abarcar 1,030 sitios y 73 agentes financieros, como mercadobitcoin.com.br, bitcointrade.com.br, foxbit.com.br, agustoshotel.com.br.br.Br , blumenhotelboutique.com.br, y fallshotel.com.br.<\/p>\n<p>Si la v\u00edctima intenta acceder a cualquiera de los sitios en la lista, el malware contacta a un servidor controlado por el atacante para determinar el siguiente curso de acci\u00f3n, que puede variar desde capturar una captura de pantalla hasta superposiciones de servicio. Algunas de las otras funciones incluyen mostrar la activaci\u00f3n de un keylogger y manipular la configuraci\u00f3n de visualizaci\u00f3n.<\/p>\n<p>&#8220;El proceso de infecci\u00f3n de Coyote es complejo y m\u00faltiple&#8221;, dijo Lin. &#8220;Este ataque aprovech\u00f3 un archivo LNK para el acceso inicial, que posteriormente condujo al descubrimiento de otros archivos maliciosos. Este troyano plantea una amenaza significativa para la seguridad cibern\u00e9tica financiera, particularmente porque tiene el potencial de expandirse m\u00e1s all\u00e1 de sus objetivos iniciales&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/coyote-malware-expands-reach-now.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de febrero de 2025\ue804Ravie LakshmananSeguridad financiera \/ malware Los usuarios brasile\u00f1os de Windows son el objetivo de<\/p>\n","protected":false},"author":1,"featured_media":1563116,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,191,16973,4661,4664,226914,4193,2151,6695,12377,273784,4669,273783,4654,273782,4659,4653,4655,246983,4665,246984,3260,455,239484],"class_list":["post-1563115","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ahora","tag-alcance","tag-ataques-ciberneticos","tag-como-hackear","tag-coyote","tag-dirige","tag-expande","tag-financieras","tag-instituciones","tag-las-noticias-del-hacker","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sitios","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1563115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1563115"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1563115\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1563116"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1563115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1563115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1563115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}