Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Coyote Banking Trojan-Analyse
Der Coyote Banking Trojaner stellt eine fortschrittliche Entwicklung brasilianischer Finanzmalware dar und ist eng mit der früheren Maverick-Kampagne verbunden. Der Trojaner wird durch bösartige LNK-Dateien verteilt, die als WhatsApp-Downloads getarnt sind, und nutzt eine mehrstufige PowerShell-Infektionskette, reflektive .NET-Loader und verschlüsselte Kommando-und-Kontroll-Kommunikation (C2). Nach der Ausführung zielt er auf lokale Finanz- und Kryptodienst-Websites ab, um Anmeldedaten zu ernten und Transaktionen zu manipulieren. Dieser Bericht liefert Sicherheitsoperationen-Zentren (SOC) umsetzbare Informationen, Indikatoren für Kompromittierungen (IOCs) und Abwehrmaßnahmen zur Erkennung, Eindämmung und Simulation von Coyote-ähnlichen Angriffen.
Coyote Malware-Untersuchung
Sicherheitsforscher identifizierten, dass Coyote-Infektionen von bösartigen ZIP-Archiven stammen, die über web.whatsapp.comheruntergeladen werden. In diesen Archiven starten Verknüpfungsdateien (LNK) verschachtelte PowerShell-Befehle, die mit Base64 und UTF-16LE kodiert sind und Skripte von zapgrande[.]comabrufen. Der initiale Loader deaktiviert Microsoft Defender und UAC, bevor ein reflektiver .NET-Loader bereitgestellt wird, der Payloads direkt im Speicher ausführt. Persistenz wird über eine Batch-Datei („HealthApp-<GUID>.bat“) erreicht, die im Autostart-Ordner abgelegt wird. Die Malware validiert das brasilianische Gebiet des Opfers, listet Browser auf und gleicht verschlüsselte Bank-URLs über AES-CBC-GZIP Routinen ab. Code-Überschneidungen und Verschlüsselungslogik verbinden Coyote mit der Maverick Trojaner-Familie.
Coyote Trojaner-Abwehr
SOC-Teams sollten eine mehrschichtige Verteidigungsstrategie gegen Coyotes Infektionskette priorisieren. Organisationen müssen den Zugriff von Mitarbeitern auf WhatsApp Web und ähnliche Messaging-Dienste einschränken und phishing-sichere Schulungen zur Sensibilisierung durchsetzen. Setzen Sie fortschrittliche Endpoint-Erkennungs- und Reaktionswerkzeuge (EDR) ein, die kodierte PowerShell-Aktivitäten, reflektives .NET-Loading und unautorisierte Erstellung von Batch-Dateien identifizieren können. Bekannte C2-Domänen wie zapgrande[.]com and sorvetenopote[.]comblockieren, strikte PowerShell-Ausführungsrichtlinien durchsetzen und sicherstellen, dass Antivirensignaturen und Verhaltensregeln kontinuierlich aktualisiert werden, um aufkommende Varianten zu identifizieren.
Antwort auf Coyote Bank Malware
Bei Erkennung sollten Incident Responder betroffene Endpunkte sofort isolieren und Bedrohungssuchabfragen in Microsoft Defender for Endpoint oder ähnlichen SIEM-Plattformen einleiten, um PowerShell-Ausführungen zu lokalisieren, die aus WhatsApp-Downloads stammen. LNK-, ZIP- und Batch-Dateien, die mit bekannten IOCs übereinstimmen, isolieren oder löschen und die zugehörige C2-Infrastruktur auf Firewall- und DNS-Ebenen blockieren. Analysten sollten alle HealthApp-*.bat Persistenz-Artefakte entfernen, kompromittierte Bankanmeldedaten zurücksetzen und eine Multi-Faktor-Authentifizierung über Finanzplattformen durchsetzen. Eine umfassende forensische Überprüfung ist erforderlich, um die Entfernung von in-Memory-Loadern und sekundären Payloads zu bestätigen.
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes delivery_content_injection[„<b>Aktion</b> – <b>T1659 Content Injection</b><br /><b>Beschreibung</b>: Bösartige ZIP-/LNK-Dateien, die über WhatsApp Web versendet werden“] class delivery_content_injection action phishing_service[„<b>Aktion</b> – <b>T1566.003 Phishing: Spearphishing über einen Dienst</b><br /><b>Beschreibung</b>: Nutzung von WhatsApp als Dienst zur Verteilung bösartiger Nutzlasten“] class phishing_service action user_execution[„<b>Aktion</b> – <b>T1204.002 Benutzerausführung</b><br /><b>Beschreibung</b>: Das Opfer öffnet eine Verknüpfung und löst einen verschleierten Befehl aus“] class user_execution action cmd_tool[„<b>Tool</b> – <b>Name</b>: cmd.exe“] class cmd_tool tool powershell_interpreter[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br /><b>Beschreibung</b>: Dekodiert eine Base64-Nutzlast und führt Befehle aus“] class powershell_interpreter action powershell_tool[„<b>Tool</b> – <b>Name</b>: PowerShell“] class powershell_tool tool obfuscation[„<b>Aktion</b> – <b>T1027.014 Verschleierte Dateien oder Informationen</b><br /><b>Beschreibung</b>: Polymorpher Code, geteilte Token, verschachtelte FOR-Schleifen, Base64 und UTF-16LE“] class obfuscation action location_discovery[„<b>Aktion</b> – <b>T1614.001 Systemstandortermittlung</b><br /><b>Beschreibung</b>: Prüft Sprache und Geolokation und bricht ab, wenn das Ziel nicht Brasilien ist“] class location_discovery action sandbox_evasion[„<b>Aktion</b> – <b>T1497.002 Virtualisierungs-/Sandbox-Umgehung</b><br /><b>Beschreibung</b>: Prüfungen basierend auf Benutzeraktivität“] class sandbox_evasion action uac_bypass[„<b>Aktion</b> – <b>T1548.002 Missbrauch von Mechanismen zur Rechteerhöhung: Umgehung der Benutzerkontensteuerung</b><br /><b>Beschreibung</b>: Deaktiviert Microsoft Defender und die Benutzerkontensteuerung“] class uac_bypass action persistence_startup[„<b>Aktion</b> – <b>T1037.004 Start- oder Anmeldeinitialisierungsskripte: RC-Skripte</b><br /><b>Beschreibung</b>: Legt eine Batch-Datei im Autostart-Ordner ab“] class persistence_startup action batch_file[„<b>Prozess</b> – <b>Name</b>: HealthApp-.bat“] class batch_file process persistence_startup_item[„<b>Aktion</b> – <b>T1037.005 Start- oder Anmeldeinitialisierungsskripte: Startelemente</b><br /><b>Beschreibung</b>: Die Batch-Datei kontaktiert periodisch den C2-Server“] class persistence_startup_item action process_discovery[„<b>Aktion</b> – <b>T1057 Prozessentdeckung</b><br /><b>Beschreibung</b>: Enumeriert Browser-Prozesse“] class process_discovery action session_hijack[„<b>Aktion</b> – <b>T1539 Diebstahl von Web-Sitzungscookies</b> / <b>T1185 Browser-Sitzungsübernahme</b><br /><b>Beschreibung</b>: Erfasst Cookies von Banking-Websites“] class session_hijack action web_c2_bidirectional[„<b>Aktion</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br /><b>Beschreibung</b>: HTTPS-API-Aufrufe zu zapgrande.com“] class web_c2_bidirectional action web_c2_oneway[„<b>Aktion</b> – <b>T1102.003 Webdienst: Einwegkommunikation</b><br /><b>Beschreibung</b>: Ruft zusätzliche Nutzlasten ab“] class web_c2_oneway action proxy_execution[„<b>Aktion</b> – <b>T1216 Systemskript-Proxy-Ausführung</b> und <b>T1218 Systembinär-Proxy-Ausführung</b><br /><b>Beschreibung</b>: PowerShell und cmd.exe fungieren als Proxys zur speicherbasierten Ausführung entfernter Skripte“] class proxy_execution action masquerading[„<b>Aktion</b> – <b>T1036.001 Tarnung</b><br /><b>Beschreibung</b>: Dateien werden als .lnk, .zip usw. getarnt und weisen ungültige Signaturen auf“] class masquerading action malware_payload[„<b>Malware</b> – <b>Name</b>: Verschleierter PowerShell-Loader“] class malware_payload malware %% Operators op_and_location((„UND“)) class op_and_location operator %% Connections delivery_content_injection –>|liefert| phishing_service phishing_service –>|führt zu| user_execution user_execution –>|führt aus| cmd_tool cmd_tool –>|startet| powershell_interpreter powershell_interpreter –>|verwendet| powershell_tool powershell_tool –>|führt aus| obfuscation obfuscation –>|ermöglicht| location_discovery location_discovery –>|besteht| op_and_location sandbox_evasion –>|steht im Zusammenhang mit| op_and_location op_and_location –>|erlaubt| uac_bypass uac_bypass –>|etabliert| persistence_startup persistence_startup –>|erstellt| batch_file batch_file –>|ruft auf| web_c2_bidirectional web_c2_bidirectional –>|ruft ab| web_c2_oneway web_c2_oneway –>|liefert| proxy_execution proxy_execution –>|führt aus| malware_payload malware_payload –>|legt ab| persistence_startup_item persistence_startup_item –>|kontaktiert regelmäßig| web_c2_bidirectional process_discovery –>|identifiziert Browser für| session_hijack session_hijack –>|exfiltriert über| web_c2_bidirectional proxy_execution –>|maskiert durch| masquerading %% Apply classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action
Coyote Angriffsfluss
Coyote Malware-Erkennung
IOCs (IP) zur Erkennung: Maverick und Coyote: Die Verbindung zwischen zwei sich entwickelnden brasilianischen Banking-Trojanern analysieren
Anzeigen
IOCs (Hash) zur Erkennung: Maverick und Coyote: Die Verbindung zwischen zwei sich entwickelnden brasilianischen Banking-Trojanern analysieren
Anzeigen
Download oder Upload via Powershell (über cmdline)
Anzeigen
Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)
Anzeigen
Simulationen
Zusammenfassung für Führungskräfte
Testfall-ID: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Erkennungsregel Logikzusammenfassung: Erkennt ausgehende Netzwerkverbindungen, bei denen der Ziel-Hostname bekannten Coyote-Malware-C2-Domänen entspricht (zapgrande.com oder sorvetenopote.com).
Erkennungsregel Sprache/Format: Sigma
Ziel-Sicherheitsumgebung: OS: Windows 10/Server 2019 (oder später) Protokollierung: Windows-Netzwerkverbindungsprotokolle (Windows Filtering Platform, Sysmon NetworkConnect-Ereignisse, DNS-Abfrageprotokolle) Sicherheitsstapel: SIEM/EDR fähig zum Einlesen von Windows-Protokollen (z. B. Microsoft Sentinel, Splunk, Elastic, QRadar)
Resilienz-Score (1-5): 2
Begründung: Die Regel beruht ausschließlich auf…
Vollständige Simulationen anzeigen