Troyano bancario Coyote: Una amenaza para las instituciones bancarias

Durante el último mes, Los expertos en ciberseguridad de FortiGuard Labs han identificado una serie de accesos directos maliciosos de Windows (LNK) archivos que contienen comandos de PowerShell. Estos archivos sirven como etapa inicial de un ciberataque sofisticado cuyo objetivo es distribuir el troyano bancario Coyote., un cepa de malware que se dirige principalmente a los usuarios de Brasil. Diseñado para robar información financiera confidencial, El coyote es un gran peligro para la seguridad de la banca online, y una indicación de que este tipo de amenaza continúa evolucionando.

¿Cómo funciona el troyano bancario Coyote??

Coyote opera a través de un proceso de infección de múltiples etapas.. Inicialmente, Un usuario desprevenido ejecuta un archivo LNK, que ejecuta un comando de PowerShell que se conecta a un servidor remoto. Este comando recupera otro script de PowerShell, que a su vez descarga y ejecuta un cargador responsable de implementar la carga útil principal del malware..

El código malicioso inyectado utiliza Donut, una herramienta conocida para descifrar y ejecutar el lenguaje intermedio de Microsoft (MSIL) cargas útiles. Una vez descifrado, El archivo MSIL modifica el registro de Windows para garantizar la persistencia. Esto significa que incluso si se reinicia el sistema, El malware permanece activo. El troyano también descarga una URL codificada en Base64, seguir ejecutando sus funciones básicas.

Una vez que Coyote se haya implementado con éxito, Recopila información crítica del sistema y busca software antivirus instalado.. Los datos recopilados se codifican y se transmiten a un servidor remoto controlado por los atacantes.. Coyote está diseñado para evitar ser detectado al verificar si se está ejecutando en un entorno virtual o aislado., lo que hace que sea más difícil para los investigadores de ciberseguridad analizar su comportamiento.

Entre sus muchas capacidades maliciosas, El coyote puede:

• Registrar las pulsaciones de teclas para capturar credenciales de usuario confidenciales.
• Tomar capturas de pantalla de la pantalla de la víctima..
• Mostrar superposiciones de phishing en sitios web bancarios legítimos para robar información de inicio de sesión.
• Manipular la configuración de pantalla del sistema para engañar a los usuarios.

Lista de objetivos del troyano bancario Coyote

Hallazgos recientes indican que la lista de entidades objetivo de Coyote ha crecido significativamente. Inicialmente centrado en 70 aplicaciones financieras, El malware ahora apunta a por encima 1,000 sitios web y 73 instituciones financieras. Algunas de estas incluyen plataformas financieras brasileñas conocidas como mercadobitcoin.com.br, Bitcointrade.com.br, y foxbit.com.br. Además de las instituciones financieras, También se ha descubierto que Coyote ataca sitios web relacionados con la hostelería, como augustoshotel.com.br, blumenhotelboutique.com.br, y fallshotel.com.br.

Cuando una víctima intenta acceder a cualquiera de estos sitios específicos, El malware se comunica con un servidor controlado por el atacante para determinar su próximo curso de acción.. Dependiendo de las instrucciones recibidas, El coyote puede tomar capturas de pantalla, Activar un keylogger, o mostrar superposiciones engañosas diseñadas para engañar a los usuarios para que proporcionen información confidencial.

---

El proceso de infección del coyote es complejo y efectivo, lo que lo convierte en una grave amenaza para la seguridad de la banca en línea en Brasil. Su capacidad de expandirse más allá de su lista de objetivos inicial sugiere que el malware puede seguir evolucionando para atacar a otras instituciones financieras y regiones..