No último mês, Os especialistas em segurança cibernética do FortiGuard Labs identificaram uma série de atalhos maliciosos do Windows (LNK) arquivos contendo comandos do PowerShell. Esses arquivos servem como o estágio inicial de um ataque cibernético sofisticado que visa entregar o Trojan bancário Coyote, uma cepa de malware que tem como alvo principal usuários no Brasil. Projetado para roubar informações financeiras confidenciais, O coiote é um grande perigo para a segurança do banco online, e uma indicação de que este tipo de ameaça continua a evoluir.
Como funciona o Trojan bancário Coyote?
O coiote opera por meio de um processo de infecção em vários estágios. Inicialmente, um usuário desavisado executa um arquivo LNK, que executa um comando do PowerShell que se conecta a um servidor remoto. Este comando recupera outro script do PowerShell, que por sua vez baixa e executa um carregador responsável por implantar a carga principal do malware.
O código malicioso injetado utiliza Donut, uma ferramenta bem conhecida para descriptografar e executar o Microsoft Intermediate Language (MSIL) payloads. Uma vez decifrado, o arquivo MSIL modifica o registro do Windows para garantir a persistência. Isso significa que mesmo que o sistema seja reiniciado, o malware permanece ativo. O Trojan também baixa uma URL codificada em Base64, continuando a executar suas funções principais.
Uma vez que o Coyote for implantado com sucesso, ele reúne informações críticas do sistema e verifica se há software antivírus instalado. Os dados coletados são codificados e transmitidos para um servidor remoto controlado pelos invasores. O Coyote foi projetado para evitar a detecção verificando se está sendo executado em um ambiente virtual ou em sandbox, tornando mais desafiador para os pesquisadores de segurança cibernética analisar seu comportamento.
Entre suas muitas capacidades maliciosas, Coiote pode:
- Registre as teclas digitadas para capturar credenciais confidenciais do usuário.
- Tire capturas de tela da tela da vítima.
- Exibir sobreposições de phishing em sites bancários legítimos para roubar informações de login.
- Manipular as configurações de exibição do sistema para enganar os usuários.
Lista de alvos do Trojan bancário Coyote
Descobertas recentes indicam que a lista de entidades visadas pelo Coyote cresceu significativamente. Inicialmente focado em 70 aplicações financeiras, o malware agora tem como alvo sobre 1,000 sites e 73 instituições financeiras. Algumas delas incluem plataformas financeiras brasileiras bem conhecidas, como mercadobitcoin.com.br, bitcointrade.com.br, e foxbit.com.br. Além das instituições financeiras, O Coyote também foi encontrado atacando sites relacionados à hospitalidade, como augustoshotel.com.br, blumenhotelboutique.com.br, e fallshotel.com.br.
Quando uma vítima tenta acessar qualquer um desses sites visados, o malware se comunica com um servidor controlado pelo invasor para determinar seu próximo curso de ação. Dependendo das instruções recebidas, Coyote pode capturar imagens de tela, ativar um keylogger, ou exibir sobreposições enganosas projetadas para induzir os usuários a fornecer informações confidenciais.
O processo de infecção do coiote é complexo e eficaz, tornando-se uma séria ameaça à segurança bancária online no Brasil. Sua capacidade de se expandir além de sua lista de alvos inicial sugere que o malware pode continuar evoluindo para atingir instituições financeiras e regiões adicionais.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: