Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Analyse du Cheval de Troie Bancaire Coyote
Le Cheval de Troie Bancaire Coyote représente une évolution avancée des malwares financiers brésiliens, étroitement lié à la campagne Maverick antérieure. Distribué via des fichiers LNK malveillants déguisés en téléchargements WhatsApp, Coyote utilise une chaîne d’infection PowerShell en plusieurs étapes, des chargeurs .NET réflexifs, et des communications de commande et de contrôle (C2) chiffrées. Une fois exécuté, il cible les sites de services financiers et cryptographiques locaux, récoltant des identifiants et manipulant des transactions. Ce rapport fournit aux centres d’opérations de sécurité (SOC) des renseignements exploitables, des indicateurs de compromission (IOC), et des mesures défensives pour détecter, contenir et simuler des intrusions de type Coyote.
Investigation sur le Malware Coyote
Des chercheurs en sécurité ont identifié que les infections Coyote proviennent d’archives ZIP malveillantes téléchargées via web.whatsapp.com. À l’intérieur de ces archives, des fichiers raccourcis (LNK) lancent des commandes PowerShell imbriquées encodées en Base64 et UTF-16LE, qui récupèrent des scripts depuis zapgrande[.]com. Le chargeur initial désactive Microsoft Defender et le contrôle d’accès utilisateur (UAC) avant de déployer un chargeur réfléchi .NET qui exécute des charges utiles directement en mémoire. La persistance est maintenue via un fichier batch (« HealthApp-<GUID>.bat ») placé dans le dossier de démarrage. Le malware valide la région locale brésilienne de la victime, répertorie les navigateurs et fait correspondre les URL bancaires chiffrées via des routines AES-CBC-GZIP. Les chevauchements de code et la logique de chiffrement relient Coyote à la famille de Trojans Maverick.
Atténuation du Cheval de Troie Coyote
Les équipes SOC devraient donner la priorité à une stratégie de défense en couches contre la chaîne d’infection de Coyote. Les organisations doivent restreindre l’accès des employés à WhatsApp Web et à des services de messagerie similaires, tout en mettant en œuvre une formation de sensibilisation anti-hameçonnage. Déployer des outils avancés de détection et de réponse sur les points de terminaison (EDR) capables d’identifier l’activité PowerShell encodée, le chargement réflexif .NET, et la création non autorisée de fichiers batch. Bloquer les domaines C2 connus tels que zapgrande[.]com and sorvetenopote[.]com, appliquer des politiques d’exécution PowerShell strictes, et s’assurer que les signatures antivirus et les règles comportementales sont continuellement mises à jour pour identifier les variantes émergentes.
Réponse au Malware Bancaire Coyote
Dès la détection, les intervenants en cas d’incident devraient isoler immédiatement les points de terminaison affectés et initier des requêtes de chasse aux menaces dans Microsoft Defender for Endpoint ou des plateformes SIEM similaires pour localiser les exécutions PowerShell provenant de téléchargements WhatsApp. Mettre en quarantaine ou supprimer les fichiers LNK, ZIP et batch correspondant aux IOC connus, et bloquer l’infrastructure C2 associée au niveau du pare-feu et des couches DNS. Les analystes devraient supprimer tout artefact de persistance HealthApp-*.bat , réinitialiser les identifiants bancaires compromis, et appliquer l’authentification multi-facteurs sur les plateformes financières. Un examen médico-légal complet est requis pour confirmer la suppression des chargeurs en mémoire et des charges utiles secondaires.
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes delivery_content_injection[« <b>Action</b> – <b>T1659 Injection de contenu</b><br /><b>Description</b>: Fichiers ZIP/LNK malveillants envoyés via WhatsApp Web »] class delivery_content_injection action phishing_service[« <b>Action</b> – <b>T1566.003 Phishing : Spearphishing via Service</b><br /><b>Description</b>: Utilise WhatsApp comme service pour distribuer des charges utiles malveillantes »] class phishing_service action user_execution[« <b>Action</b> – <b>T1204.002 Exécution par l’utilisateur</b><br /><b>Description</b>: La victime ouvre un raccourci, déclenchant une commande obscurcie »] class user_execution action cmd_tool[« <b>Outil</b> – <b>Nom</b>: cmd.exe »] class cmd_tool tool powershell_interpreter[« <b>Action</b> – <b>T1059.001 PowerShell</b><br /><b>Description</b>: Décode la charge utile Base64 et exécute des commandes »] class powershell_interpreter action powershell_tool[« <b>Outil</b> – <b>Nom</b>: PowerShell »] class powershell_tool tool obfuscation[« <b>Action</b> – <b>T1027.014 Fichiers ou informations obfusqués</b><br /><b>Description</b>: Code polymorphe, tokens divisés, boucles FOR imbriquées, Base64 et UTF‑16LE »] class obfuscation action location_discovery[« <b>Action</b> – <b>T1614.001 Découverte de la localisation du système</b><br /><b>Description</b>: Vérifie la langue/géolocalisation et abandonne si ce n’est pas le Brésil »] class location_discovery action sandbox_evasion[« <b>Action</b> – <b>T1497.002 Évasion de virtualisation/sandbox</b><br /><b>Description</b>: Vérifications basées sur l’activité utilisateur »] class sandbox_evasion action uac_bypass[« <b>Action</b> – <b>T1548.002 Abus du mécanisme d’élévation : Contournement du contrôle de compte utilisateur</b><br /><b>Description</b>: Désactive Microsoft Defender et l’UAC »] class uac_bypass action persistence_startup[« <b>Action</b> – <b>T1037.004 Scripts d’initialisation au démarrage ou à la connexion : Scripts RC</b><br /><b>Description</b>: Dépose un fichier batch dans le dossier Démarrage »] class persistence_startup action batch_file[« <b>Processus</b> – <b>Nom</b>: HealthApp‑.bat »] class batch_file process persistence_startup_item[« <b>Action</b> – <b>T1037.005 Scripts d’initialisation au démarrage ou à la connexion : Éléments de démarrage</b><br /><b>Description</b>: Le batch contacte périodiquement le C2 »] class persistence_startup_item action process_discovery[« <b>Action</b> – <b>T1057 Découverte de processus</b><br /><b>Description</b>: Énumère les processus des navigateurs »] class process_discovery action session_hijack[« <b>Action</b> – <b>T1539 Vol de cookie de session Web</b> / <b>T1185 Détournement de session du navigateur</b><br /><b>Description</b>: Capture les cookies des sites bancaires »] class session_hijack action web_c2_bidirectional[« <b>Action</b> – <b>T1102.002 Service Web : Communication bidirectionnelle</b><br /><b>Description</b>: Appels API HTTPS vers zapgrande.com »] class web_c2_bidirectional action web_c2_oneway[« <b>Action</b> – <b>T1102.003 Service Web : Communication unidirectionnelle</b><br /><b>Description</b>: Récupère des charges utiles supplémentaires »] class web_c2_oneway action proxy_execution[« <b>Action</b> – <b>T1216 Exécution de script système par proxy</b> et <b>T1218 Exécution de binaire système par proxy</b><br /><b>Description</b>: PowerShell et cmd.exe agissent comme proxies pour exécuter des scripts distants en mémoire »] class proxy_execution action masquerading[« <b>Action</b> – <b>T1036.001 Déguisement</b><br /><b>Description</b>: Fichiers déguisés en .lnk, .zip, etc., avec des signatures invalides »] class masquerading action malware_payload[« <b>Malware</b> – <b>Nom</b> : Chargeur PowerShell Obscurci »] class malware_payload malware %% Operators op_and_location((« ET »)) class op_and_location operator %% Connections delivery_content_injection –>|délivre| phishing_service phishing_service –>|conduit à| user_execution user_execution –>|exécute| cmd_tool cmd_tool –>|lance| powershell_interpreter powershell_interpreter –>|utilise| powershell_tool powershell_tool –>|exécute| obfuscation obfuscation –>|permet| location_discovery location_discovery –>|passe| op_and_location sandbox_evasion –>|lié à| op_and_location op_and_location –>|permet| uac_bypass uac_bypass –>|établit| persistence_startup persistence_startup –>|crée| batch_file batch_file –>|appelle| web_c2_bidirectional web_c2_bidirectional –>|récupère| web_c2_oneway web_c2_oneway –>|fournit| proxy_execution proxy_execution –>|exécute| malware_payload malware_payload –>|dépose| persistence_startup_item persistence_startup_item –>|contacte périodiquement| web_c2_bidirectional process_discovery –>|identifie les navigateurs pour| session_hijack session_hijack –>|exfiltre par| web_c2_bidirectional proxy_execution –>|déguisé par| masquerading %% Apply classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action
Flux d’Attaque Coyote
Détection de Malware Coyote
IOC (ip) pour détecter : Maverick et Coyote : Analyser le lien entre deux Chevaux de Troie Bancaires Brésiliens Évolutifs
Voir
IOC (hash) pour détecter : Maverick et Coyote : Analyser le lien entre deux Chevaux de Troie Bancaires Brésiliens Évolutifs
Voir
Téléchargement ou Upload via PowerShell (via cmdline)
Voir
Possibilité d’Exécution à travers des Lignes de Commande PowerShell Cachées (via cmdline)
Voir
Simulations
Résumé Exécutif
ID de Cas de Test : TC-20251112-A7Z3K
TTPs : T1102.001, T1102
Résumé de la Logique des Règles de Détection : Détecte les connexions réseau sortantes où le nom d’hôte de destination correspond à des domaines C2 connus du malware Coyote (zapgrande.com ou sorvetenopote.com).
Langage/Formater des Règles de Détection : sigma
Environnement de Sécurité Cible : OS : Windows 10/Server 2019 (ou plus récent) Journalisation : journaux de connexion réseau de Windows (Plateforme de Filtrage Windows, événements Sysmon NetworkConnect, journaux de requêtes DNS) Pile de Sécurité : SIEM/EDR capable d’ingérer des journaux Windows (par exemple, Microsoft Sentinel, Splunk, Elastic, QRadar)
Score de Résilience (1-5) : 2
Justification : La règle repose uniquement…
Voir Simulations Complètes