Ciberseguridad 360 | Más sitios bajo ataque del malware Coyote

Los usuarios brasile�os de Windows son el objetivo de una campa�a que despliega un malware bancario conocido como Coyote.

�Una vez desplegado, el troyano bancario Coyote puede llevar a cabo varias actividades maliciosas, incluyendo keylogging, capturas de pantalla y phishing para robar credenciales sensibles�, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs, en un an�lisis publicado la semana pasada.

La empresa de ciberseguridad dijo haber descubierto el mes pasado varios archivos de acceso directo de Windows (LNK) que contienen comandos PowerShell responsables de la distribuci�n del malware.

Coyote fue documentado por primera vez por Kaspersky a principios de 2024, detallando sus ataques dirigidos a usuarios del pa�s sudamericano. Es capaz de recopilar informaci�n sensible de m�s de 70 aplicaciones financieras.

En la anterior cadena de ataque documentada por la firma de ciberseguridad rusa, se utiliza un ejecutable instalador Squirrel para activar una aplicaci�n Node.js compilada con Electron, que, por su parte, ejecuta un cargador basado en Nim para desencadenar la ejecuci�n del payload malicioso Coyote.

La �ltima secuencia de infecci�n, por su parte, comienza con un archivo LNK que ejecuta un comando PowerShell para recuperar la siguiente etapa de un servidor remoto (�tbet.geontrigame[.]com�), otro script PowerShell que lanza un cargador responsable de ejecutar una carga �til intermedia.

�El c�digo inyectado aprovecha Donut, una herramienta dise�ada para descifrar y ejecutar las cargas �tiles finales MSIL (Microsoft Intermediate Language)�, dijo Lin. �El archivo de ejecuci�n MSIL descifrado primero establece la persistencia modificando el registro en 'HCKU\Software\Microsoft\Windows\CurrentVersion\Run'�.

�Si se encuentra, elimina la entrada existente y crea una nueva con un nombre generado aleatoriamente. Esta nueva entrada del registro contiene un comando PowerShell personalizado que apunta a descargar y ejecutar una URL codificada en Base64, lo que facilita las funciones principales del troyano bancario Coyote.�

El malware, una vez lanzado, recopila informaci�n b�sica del sistema y la lista de productos antivirus instalados en el host, tras lo cual los datos son codificados en Base64 y exfiltrados a un servidor remoto. Tambi�n realiza varias comprobaciones para eludir la detecci�n por parte de sandboxes y entornos virtuales.

Un cambio notable en la �ltima iteraci�n de Coyote es la ampliaci�n de su lista de objetivos para abarcar 1.030 sitios y 73 agentes financieros, como mercadobitcoin.com.br, bitcointrade.com.br, foxbit.com.br, augustoshotel.com.br, blumenhotelboutique.com.br, y fallshotel.com.br.

Si la v�ctima intenta acceder a alguno de los sitios de la lista, el malware se pone en contacto con un servidor controlado por el atacante para determinar el siguiente curso de acci�n, que puede ir desde capturar una pantalla hasta servir sobreimpresiones. Otras funciones incluyen la activaci�n de un keylogger y la manipulaci�n de la configuraci�n de pantalla.

�El proceso de infecci�n de Coyote es complejo y tiene varias fases�, afirma Lin. �Este ataque aprovech� un archivo LNK para el acceso inicial, que posteriormente condujo al descubrimiento de otros archivos maliciosos. Este troyano representa una amenaza significativa para la ciberseguridad financiera, sobre todo porque tiene el potencial de expandirse m�s all� de sus objetivos iniciales.�

Fuente: thehackernews