Coyote Banking Malware: SOC Bedrohungsbericht
Detection stack
- AIDR
- Alert
- ETL
- Query
Coyote Banking Trojan-Analyse
Der Coyote Banking Trojaner stellt eine fortschrittliche Entwicklung brasilianischer Finanzmalware dar und ist eng mit der früheren Maverick-Kampagne verbunden. Der Trojaner wird durch bösartige LNK-Dateien verteilt, die als WhatsApp-Downloads getarnt sind, und nutzt eine mehrstufige PowerShell-Infektionskette, reflektive .NET-Loader und verschlüsselte Kommando-und-Kontroll-Kommunikation (C2). Nach der Ausführung zielt er auf lokale Finanz- und Kryptodienst-Websites ab, um Anmeldedaten zu ernten und Transaktionen zu manipulieren. Dieser Bericht liefert Sicherheitsoperationen-Zentren (SOC) umsetzbare Informationen, Indikatoren für Kompromittierungen (IOCs) und Abwehrmaßnahmen zur Erkennung, Eindämmung und Simulation von Coyote-ähnlichen Angriffen.
Coyote Malware-Untersuchung
Sicherheitsforscher identifizierten, dass Coyote-Infektionen von bösartigen ZIP-Archiven stammen, die über web.whatsapp.comheruntergeladen werden. In diesen Archiven starten Verknüpfungsdateien (LNK) verschachtelte PowerShell-Befehle, die mit Base64 und UTF-16LE kodiert sind und Skripte von zapgrande[.]comabrufen. Der initiale Loader deaktiviert Microsoft Defender und UAC, bevor ein reflektiver .NET-Loader bereitgestellt wird, der Payloads direkt im Speicher ausführt. Persistenz wird über eine Batch-Datei („HealthApp-<GUID>.bat“) erreicht, die im Autostart-Ordner abgelegt wird. Die Malware validiert das brasilianische Gebiet des Opfers, listet Browser auf und gleicht verschlüsselte Bank-URLs über AES-CBC-GZIP Routinen ab. Code-Überschneidungen und Verschlüsselungslogik verbinden Coyote mit der Maverick Trojaner-Familie.
Coyote Trojaner-Abwehr
SOC-Teams sollten eine mehrschichtige Verteidigungsstrategie gegen Coyotes Infektionskette priorisieren. Organisationen müssen den Zugriff von Mitarbeitern auf WhatsApp Web und ähnliche Messaging-Dienste einschränken und phishing-sichere Schulungen zur Sensibilisierung durchsetzen. Setzen Sie fortschrittliche Endpoint-Erkennungs- und Reaktionswerkzeuge (EDR) ein, die kodierte PowerShell-Aktivitäten, reflektives .NET-Loading und unautorisierte Erstellung von Batch-Dateien identifizieren können. Bekannte C2-Domänen wie zapgrande[.]com and sorvetenopote[.]comblockieren, strikte PowerShell-Ausführungsrichtlinien durchsetzen und sicherstellen, dass Antivirensignaturen und Verhaltensregeln kontinuierlich aktualisiert werden, um aufkommende Varianten zu identifizieren.
Antwort auf Coyote Bank Malware
Bei Erkennung sollten Incident Responder betroffene Endpunkte sofort isolieren und Bedrohungssuchabfragen in Microsoft Defender for Endpoint oder ähnlichen SIEM-Plattformen einleiten, um PowerShell-Ausführungen zu lokalisieren, die aus WhatsApp-Downloads stammen. LNK-, ZIP- und Batch-Dateien, die mit bekannten IOCs übereinstimmen, isolieren oder löschen und die zugehörige C2-Infrastruktur auf Firewall- und DNS-Ebenen blockieren. Analysten sollten alle HealthApp-*.bat Persistenz-Artefakte entfernen, kompromittierte Bankanmeldedaten zurücksetzen und eine Multi-Faktor-Authentifizierung über Finanzplattformen durchsetzen. Eine umfassende forensische Überprüfung ist erforderlich, um die Entfernung von in-Memory-Loadern und sekundären Payloads zu bestätigen.
Coyote Angriffsfluss
Coyote Malware-Erkennung
IOCs (IP) zur Erkennung: Maverick und Coyote: Die Verbindung zwischen zwei sich entwickelnden brasilianischen Banking-Trojanern analysieren
Anzeigen
IOCs (Hash) zur Erkennung: Maverick und Coyote: Die Verbindung zwischen zwei sich entwickelnden brasilianischen Banking-Trojanern analysieren
Anzeigen
Download oder Upload via Powershell (über cmdline)
Anzeigen
Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)
Anzeigen
Simulationen
Zusammenfassung für Führungskräfte
Testfall-ID: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Erkennungsregel Logikzusammenfassung: Erkennt ausgehende Netzwerkverbindungen, bei denen der Ziel-Hostname bekannten Coyote-Malware-C2-Domänen entspricht (zapgrande.com oder sorvetenopote.com).
Erkennungsregel Sprache/Format: Sigma
Ziel-Sicherheitsumgebung: OS: Windows 10/Server 2019 (oder später) Protokollierung: Windows-Netzwerkverbindungsprotokolle (Windows Filtering Platform, Sysmon NetworkConnect-Ereignisse, DNS-Abfrageprotokolle) Sicherheitsstapel: SIEM/EDR fähig zum Einlesen von Windows-Protokollen (z. B. Microsoft Sentinel, Splunk, Elastic, QRadar)
Resilienz-Score (1-5): 2
Begründung: Die Regel beruht ausschließlich auf…
Vollständige Simulationen anzeigen