SOC Prime Bias: Medium

12 Nov 2025 13:49 UTC

Coyote Banking Malware: SOC Bedrohungsbericht

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Coyote Banking Malware: SOC Bedrohungsbericht
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Coyote Banking Trojan-Analyse

Der Coyote Banking Trojaner stellt eine fortschrittliche Entwicklung brasilianischer Finanzmalware dar und ist eng mit der früheren Maverick-Kampagne verbunden. Der Trojaner wird durch bösartige LNK-Dateien verteilt, die als WhatsApp-Downloads getarnt sind, und nutzt eine mehrstufige PowerShell-Infektionskette, reflektive .NET-Loader und verschlüsselte Kommando-und-Kontroll-Kommunikation (C2). Nach der Ausführung zielt er auf lokale Finanz- und Kryptodienst-Websites ab, um Anmeldedaten zu ernten und Transaktionen zu manipulieren. Dieser Bericht liefert Sicherheitsoperationen-Zentren (SOC) umsetzbare Informationen, Indikatoren für Kompromittierungen (IOCs) und Abwehrmaßnahmen zur Erkennung, Eindämmung und Simulation von Coyote-ähnlichen Angriffen.

Coyote Malware-Untersuchung

Sicherheitsforscher identifizierten, dass Coyote-Infektionen von bösartigen ZIP-Archiven stammen, die über web.whatsapp.comheruntergeladen werden. In diesen Archiven starten Verknüpfungsdateien (LNK) verschachtelte PowerShell-Befehle, die mit Base64 und UTF-16LE kodiert sind und Skripte von zapgrande[.]comabrufen. Der initiale Loader deaktiviert Microsoft Defender und UAC, bevor ein reflektiver .NET-Loader bereitgestellt wird, der Payloads direkt im Speicher ausführt. Persistenz wird über eine Batch-Datei („HealthApp-<GUID>.bat“) erreicht, die im Autostart-Ordner abgelegt wird. Die Malware validiert das brasilianische Gebiet des Opfers, listet Browser auf und gleicht verschlüsselte Bank-URLs über AES-CBC-GZIP Routinen ab. Code-Überschneidungen und Verschlüsselungslogik verbinden Coyote mit der Maverick Trojaner-Familie.

Coyote Trojaner-Abwehr

SOC-Teams sollten eine mehrschichtige Verteidigungsstrategie gegen Coyotes Infektionskette priorisieren. Organisationen müssen den Zugriff von Mitarbeitern auf WhatsApp Web und ähnliche Messaging-Dienste einschränken und phishing-sichere Schulungen zur Sensibilisierung durchsetzen. Setzen Sie fortschrittliche Endpoint-Erkennungs- und Reaktionswerkzeuge (EDR) ein, die kodierte PowerShell-Aktivitäten, reflektives .NET-Loading und unautorisierte Erstellung von Batch-Dateien identifizieren können. Bekannte C2-Domänen wie zapgrande[.]com and sorvetenopote[.]comblockieren, strikte PowerShell-Ausführungsrichtlinien durchsetzen und sicherstellen, dass Antivirensignaturen und Verhaltensregeln kontinuierlich aktualisiert werden, um aufkommende Varianten zu identifizieren.

Antwort auf Coyote Bank Malware

Bei Erkennung sollten Incident Responder betroffene Endpunkte sofort isolieren und Bedrohungssuchabfragen in Microsoft Defender for Endpoint oder ähnlichen SIEM-Plattformen einleiten, um PowerShell-Ausführungen zu lokalisieren, die aus WhatsApp-Downloads stammen. LNK-, ZIP- und Batch-Dateien, die mit bekannten IOCs übereinstimmen, isolieren oder löschen und die zugehörige C2-Infrastruktur auf Firewall- und DNS-Ebenen blockieren. Analysten sollten alle HealthApp-*.bat Persistenz-Artefakte entfernen, kompromittierte Bankanmeldedaten zurücksetzen und eine Multi-Faktor-Authentifizierung über Finanzplattformen durchsetzen. Eine umfassende forensische Überprüfung ist erforderlich, um die Entfernung von in-Memory-Loadern und sekundären Payloads zu bestätigen.

Coyote Angriffsfluss

Simulationen

Zusammenfassung für Führungskräfte

Testfall-ID: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Erkennungsregel Logikzusammenfassung: Erkennt ausgehende Netzwerkverbindungen, bei denen der Ziel-Hostname bekannten Coyote-Malware-C2-Domänen entspricht (zapgrande.com oder sorvetenopote.com).
Erkennungsregel Sprache/Format: Sigma
Ziel-Sicherheitsumgebung: OS: Windows 10/Server 2019 (oder später) Protokollierung: Windows-Netzwerkverbindungsprotokolle (Windows Filtering Platform, Sysmon NetworkConnect-Ereignisse, DNS-Abfrageprotokolle) Sicherheitsstapel: SIEM/EDR fähig zum Einlesen von Windows-Protokollen (z. B. Microsoft Sentinel, Splunk, Elastic, QRadar)
Resilienz-Score (1-5): 2
Begründung: Die Regel beruht ausschließlich auf…
Vollständige Simulationen anzeigen