FortiGuard Labs ha descubierto una nueva y sofisticada cadena de ataque que involucra archivos maliciosos de acceso directo de Windows (LNK) diseñados para implementar el notorio malware bancario Coyote. El troyano se dirige principalmente a usuarios en Brasil, específicamente con el objetivo de robar datos confidenciales de más de 70 aplicaciones financieras y una variedad de sitios web.
Los archivos contienen comandos de PowerShell e inician una serie de operaciones que, en última instancia, conducen a la instalación del troyano en los sistemas de la víctima.
Coyote es capaz de ejecutar una variedad de actividades maliciosas, incluido el registro de teclas, la captura de pantallas y la visualización de superposiciones de phishing para robar credenciales de usuario.
FortiGuard Labs dice que, durante el último mes, ha descubierto varios casos de artefactos de archivos LNK que contienen comandos de PowerShell incrustados que obtienen cargas maliciosas posteriores de servidores remotos, iniciando un proceso de infección de varias etapas.
Coyote se documentó inicialmente a principios de 2024 y desde entonces se ha relacionado con ataques dirigidos contra usuarios brasileños. Además de las aplicaciones financieras, el malware ahora también se dirige a una gama más amplia de sitios web, incluidos los relacionados con el comercio electrónico y el turismo.
En la última secuencia de infección observada, un archivo LNK ejecuta un script de PowerShell que recupera otro script de PowerShell de un servidor remoto. El código inyectado aprovecha Donut, una herramienta diseñada para descifrar y ejecutar las cargas útiles finales de MSIL (lenguaje intermedio de Microsoft). Luego, las cargas útiles establecen persistencia en la máquina infectada modificando el registro de Windows, lo que garantiza que el malware permanezca activo incluso después de reiniciar el sistema.
El mecanismo de persistencia del malware implica la creación de una nueva entrada de registro con un nombre aleatorio que apunta a un comando de PowerShell. Este comando obtiene y ejecuta una URL codificada en Base64, lo que facilita la ejecución de las principales funciones del troyano bancario Coyote. Una vez activado, el troyano recopila información básica del sistema y una lista de productos antivirus instalados antes de filtrar los datos a un servidor remoto. También utiliza diversas técnicas de evasión para evitar ser detectado por medidas de seguridad como sandboxes y entornos virtuales.
Una novedad significativa en esta nueva variante de Coyote es la ampliación de su lista de objetivos, que ahora incluye 1.030 sitios web y 73 instituciones financieras. Cuando una víctima intenta acceder a cualquiera de los sitios, Coyote puede desencadenar una variedad de acciones maliciosas, desde capturar capturas de pantalla hasta mostrar superposiciones de phishing. Además, el malware puede activar un keylogger y alterar la configuración de la pantalla para engañar aún más a la víctima.
"El proceso de infección del coyote es complejo y de varias etapas. Este ataque aprovechó un archivo LNK para el acceso inicial, lo que posteriormente condujo al descubrimiento de otros archivos maliciosos. Este troyano representa una amenaza significativa para la ciberseguridad financiera, particularmente porque tiene el potencial de expandirse más allá de sus objetivos iniciales", advirtieron los investigadores.
Fuente: https://www.fortinet.com/blog/threat-research/coyote-banking-trojan-a-stealthy-attack-via-lnk-files
El troyano bancario Coyote ahora ataca a más de 70 instituciones financieras
