ClickCease Alerta: El troyano Coyote compromete a 61 bancos brasileños

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta: El troyano Coyote compromete a 61 bancos brasileños

Wajahat Raja

23 de febrero de 2024 - Equipo de expertos TuxCare

Los ciberataques financieros suponen una importante amenaza para la estabilidad de las economías mundiales y la seguridad de las instituciones financieras. En un reciente acontecimiento de ciberseguridad, la asombrosa cifra de 61 bancos en Brasil han sido víctimas de un sofisticado troyano bancario conocido como Troyano Coyote. El malware, según los hallazgos de la empresa rusa de ciberseguridad Kaspersky, emplea un enfoque único, utilizando el instalador Squirrel, Node.js, y el relativamente nuevo lenguaje de programación Nim para sus operaciones.

 

Tácticas poco convencionales de Coyote Trojan


A diferencia de sus homólogos, Coyote se distingue por utilizar el framework de código abierto Squirrel para instalar y actualizar aplicaciones Windows. Partiendo del lenguaje Delphi, comúnmente utilizado en el
malware bancarioCoyote opta por Nim, lo que muestra la evolución del panorama de las ciberamenazas.


Cadena y técnicas de ataque


El informe de Kaspersky describe una compleja cadena de ataque. El instalador Squirrel actúa como plataforma de lanzamiento de una aplicación Node.js compilada con Electron. Esto, a su vez, activa un cargador basado en Nim, facilitando la ejecución de la carga útil Coyote
mediante la carga lateral de DLL.

El malicioso "libcef.dll se carga lateralmente utilizando un ejecutable legítimo llamado "obs-browser-page.exe". incrustado en el proyecto Node.js. En particular, el auténtico libcef.dll forma parte del Chromium Embedded Framework (CEF). La detección de malware es esencial para salvaguardar los activos digitales y evitar el acceso no autorizado a información sensible.

 

Funcionalidad de Coyote


Una vez activado, Coyote vigila todas las aplicaciones abiertas en el sistema de la víctima, esperando pacientemente el acceso a aplicaciones bancarias o sitios web específicos. A continuación, se comunica con un servidor controlado por los actores de la amenaza para obtener directivas para acciones posteriores. 

Las capacidades de Coyote se extienden a la ejecución de comandos como capturar pantallas, registrar pulsaciones de teclas, terminar procesos, mostrar falsas superposiciones, mover el cursor del ratón estratégicamente e incluso iniciar el apagado de la máquina. Puede bloquear engañosamente la interfaz de usuario con un engañoso "Trabajando en actualizaciones..." mientras realiza clandestinamente actividades maliciosas en segundo plano. Esto demuestra que infecciones por troyanos son una preocupación persistente para particulares y organizaciones por igual, comprometiendo la seguridad de la banca electrónica y la integridad del sistema.

 

Diseño avanzado de Coyote


La incorporación de Nim como cargador en Coyote subraya su avanzado diseño. Kaspersky hace hincapié en esta evolución, arrojando luz sobre la creciente sofisticación del panorama de las amenazas. Los actores de las amenazas se están adaptando, incorporando los lenguajes y herramientas más recientes a sus campañas maliciosas, lo que supone un reto constante para la
expertos en inteligencia expertos en ciberamenazas.


Respuesta de las fuerzas de seguridad


En respuesta a la amenaza de Coyote, las autoridades policiales brasileñas tomaron medidas desmantelando la operación Grandoreiro. Se emitieron cinco órdenes de detención provisionales y 13 órdenes de registro e incautación en cinco estados brasileños para detener a los autores intelectuales del
software malicioso. Este movimiento estratégico significa un esfuerzo concertado para mitigar el impacto de Coyote en el sector financiero.

 


La aparición de Coyote coincide con el desmantelamiento de la operación Grandoreiro en Brasil. Simultáneamente, ha aparecido un nuevo ladrón de información basado en Python, vinculado a arquitectos vietnamitas asociados con MrTonyScam. 

Este ladrón de información se distribuye a través de documentos de Microsoft Excel y Word con trampas explosivas, recopilando cookies del navegador y datos de inicio de sesión de varios navegadores, incluidos los populares como Chrome y Edge, así como navegadores centrados en el mercado local como Cốc Cốc.


Conclusión


La infiltración del troyano Coyote en 61
sistemas bancarios brasileñoss es un claro recordatorio de la evolución de las tácticas empleadas por los ciberdelincuentes. A medida que el panorama de amenazas de troyanos bancarios troyanos bancarios, las organizaciones deben mantenerse vigilantes y priorizar las medidas de ciberseguridad proactivas. medidas proactivas de ciberseguridad. Las recientes acciones policiales contra la operación Grandoreiro ponen de relieve los esfuerzos de colaboración para frenar estas amenazas a la ciberseguridadpero la naturaleza dinámica de las estrategias de los ciberdelincuentes exige una adaptación e innovación constantes de los mecanismos de defensa.

Las fuentes de este artículo incluyen artículos en The Hacker News y Kaspersky.

 

Resumen
Alerta: El troyano Coyote compromete a 61 bancos brasileños
Nombre del artículo
Alerta: El troyano Coyote compromete a 61 bancos brasileños
Descripción
Manténgase informado sobre la última amenaza de ciberseguridad, ya que 61 bancos brasileños son objetivo del troyano Coyote. Proteja sus activos ahora.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín