Coyote Banking-Trojan: een bedreiging voor bankinstellingen

De afgelopen maand, Cybersecurity-experts van FortiGuard Labs hebben een reeks kwaadaardige Windows-snelkoppelingen geïdentificeerd (LNK) bestanden met PowerShell-opdrachten. Deze bestanden vormen de eerste fase van een geavanceerde cyberaanval die gericht is op het verspreiden van de Coyote Banking Trojan, een malware-stam die primair gericht is op gebruikers in Brazilië. Ontworpen om gevoelige financiële informatie te stelen, Coyote is een groot gevaar voor de veiligheid van online bankieren, en een indicatie dat dit type bedreiging zich blijft ontwikkelen.

Hoe werkt de Coyote Banking Trojan??

Coyote opereert via een infectieproces dat uit meerdere fasen bestaat. Aanvankelijk, een nietsvermoedende gebruiker voert een LNK-bestand uit, die een PowerShell-opdracht uitvoert die verbinding maakt met een externe server. Met deze opdracht wordt een ander PowerShell-script opgehaald, die op zijn beurt een loader downloadt en uitvoert die verantwoordelijk is voor het implementeren van de belangrijkste malware-payload.

De geïnjecteerde kwaadaardige code maakt gebruik van Donut, een bekende tool voor het decoderen en uitvoeren van Microsoft Intermediate Language (MSIL) payloads. Eenmaal gedecodeerd, het MSIL-bestand wijzigt het Windows-register om persistentie te garanderen. Dit betekent dat zelfs als het systeem opnieuw wordt opgestart, de malware blijft actief. De Trojan downloadt ook een Base64-gecodeerde URL, het verder uitvoeren van haar kerntaken.

Zodra Coyote succesvol is ingezet, Het verzamelt kritieke systeemgegevens en scant op geïnstalleerde antivirussoftware. De verzamelde gegevens worden gecodeerd en verzonden naar een externe server die door de aanvallers wordt beheerd. Coyote is ontworpen om detectie te voorkomen door te controleren of het in een virtuele of sandbox-omgeving draait, waardoor het voor cybersecurityonderzoekers een grotere uitdaging wordt om het gedrag ervan te analyseren.

Onder de vele kwaadaardige mogelijkheden, Coyote kan:

• Registreer toetsaanslagen om gevoelige gebruikersgegevens vast te leggen.
• Maak screenshots van het scherm van het slachtoffer.
• Phishing-overlays weergeven op legitieme bankwebsites om inloggegevens te stelen.
• Manipuleer de weergave-instellingen van het systeem om gebruikers te misleiden.

Doelwitlijst voor Coyote Banking Trojan

Recente bevindingen geven aan dat de lijst van doelwitten van Coyote aanzienlijk is gegroeid. Aanvankelijk gericht op 70 financiële toepassingen, de malware richt zich nu op over 1,000 websites en 73 financiële instellingen. Enkele hiervan zijn bekende Braziliaanse financiële platforms zoals mercadobitcoin.com.br, bitcointrade.com.br, en foxbit.com.br. Naast financiële instellingen, Coyote is ook betrapt op het targeten van websites die gerelateerd zijn aan de gastvrijheidssector, zoals augustoshotel.com.br, blumenhotelboutique.com.br, en fallshotel.com.br.

Wanneer een slachtoffer probeert toegang te krijgen tot een van deze gerichte sites, de malware communiceert met een door de aanvaller gecontroleerde server om de volgende actie te bepalen. Afhankelijk van de ontvangen instructies, Coyote kan screenshots maken, activeer een keylogger, of misleidende overlays weergeven die zijn ontworpen om gebruikers ertoe te verleiden gevoelige informatie te verstrekken.

---

Het infectieproces van de coyote is zowel complex als effectief, waardoor het een ernstige bedreiging vormt voor de veiligheid van online bankieren in Brazilië. Het vermogen om zich uit te breiden buiten de oorspronkelijke doelwitlijst suggereert dat de malware zich mogelijk verder zal ontwikkelen om zich te richten op andere financiële instellingen en regio's.