Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Análisis del Troyano Bancario Coyote
El Troyano Bancario Coyote representa una evolución avanzada del malware financiero brasileño, estrechamente vinculado con la anterior campaña Maverick. Distribuido a través de archivos LNK maliciosos disfrazados de descargas de WhatsApp, Coyote emplea una cadena de infección de PowerShell en múltiples etapas, cargadores .NET reflectivos y comunicaciones de comando y control (C2) cifradas. Una vez ejecutado, se dirige a sitios web locales de servicios financieros y de criptomonedas, recopilando credenciales y manipulando transacciones. Este informe proporciona a los centros de operaciones de seguridad (SOC) inteligencia procesable, indicadores de compromiso (IOCs) y medidas defensivas para detectar, contener y simular intrusiones al estilo de Coyote.
Investigación de Malware Coyote
Los investigadores de seguridad identificaron que las infecciones de Coyote se originan a partir de archivos ZIP maliciosos descargados a través de web.whatsapp.com. Dentro de estos archivos, los archivos de acceso directo (LNK) lanzan comandos de PowerShell anidados codificados con Base64 y UTF-16LE, que recuperan scripts de zapgrande[.]com. El cargador inicial desactiva Microsoft Defender y UAC antes de desplegar un cargador reflectivo .NET que ejecuta cargas útiles directamente en la memoria. La persistencia se mantiene mediante un archivo batch (“HealthApp-<GUID>.bat”) colocado en la carpeta de inicio. El malware valida la configuración local brasileña de la víctima, enumera los navegadores y coincide con URL bancarias cifradas a través de rutinas AES-CBC-GZIP. La superposición de código y la lógica de cifrado vinculan a Coyote con la familia de troyanos Maverick.
Mitigación del Troyano Coyote
Los equipos SOC deben priorizar una estrategia de defensa en capas contra la cadena de infección de Coyote. Las organizaciones deben restringir el acceso de los empleados a WhatsApp Web y servicios de mensajería similares, al tiempo que implementan capacitación sobre concienciación resistente al phishing. Despliegue herramientas avanzadas de detección y respuesta en puntos finales (EDR) capaces de identificar actividad de PowerShell codificada, carga .NET reflectiva y creación no autorizada de archivos batch. Bloquee dominios C2 conocidos como zapgrande[.]com and sorvetenopote[.]com, aplique políticas estrictas de ejecución de PowerShell y asegúrese de que las firmas de antivirus y las reglas de comportamiento se actualicen continuamente para identificar variantes emergentes.
Respuesta al Malware Bancario Coyote
Una vez detectado, los respondedores de incidentes deben aislar inmediatamente los puntos finales afectados e iniciar consultas de caza de amenazas en Microsoft Defender para Endpoint o plataformas SIEM similares para localizar ejecuciones de PowerShell derivadas de descargas de WhatsApp. Cuaretenar o eliminar archivos LNK, ZIP, y batch que coincidan con IOCs conocidos y bloquear la infraestructura C2 asociada en las capas de firewall y DNS. Los analistas deben eliminar cualquier HealthApp-*.bat , restablecer credenciales bancarias comprometidas y aplicar autenticación multifactor en todas las plataformas financieras. Se requiere una revisión forense exhaustiva para confirmar la eliminación de cargadores en memoria y cargas útiles secundarias.
graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes delivery_content_injection[«<b>Acción</b> – <b>T1659 Inyección de Contenido</b><br/><b>Descripción</b>: Archivos ZIP/LNK maliciosos enviados a través de WhatsApp Web»] class delivery_content_injection action phishing_service[«<b>Acción</b> – <b>T1566.003 Phishing: Spearphishing vía Servicio</b><br/><b>Descripción</b>: Uso de WhatsApp como servicio para distribuir payload malicioso»] class phishing_service action user_execution[«<b>Acción</b> – <b>T1204.002 Ejecución por Usuario</b><br/><b>Descripción</b>: La víctima abre el acceso directo, activando cmd ofuscado»] class user_execution action cmd_tool[«<b>Herramienta</b> – <b>Nombre</b>: cmd.exe»] class cmd_tool tool powershell_interpreter[«<b>Acción</b> – <b>T1059.001 PowerShell</b><br/><b>Descripción</b>: Decodifica payload en Base64 y ejecuta comandos»] class powershell_interpreter action powershell_tool[«<b>Herramienta</b> – <b>Nombre</b>: PowerShell»] class powershell_tool tool obfuscation[«<b>Acción</b> – <b>T1027.014 Archivos o Información Ofuscada</b><br/><b>Descripción</b>: Código polimórfico, tokens divididos, bucles FOR anidados, Base64 y UTF‑16LE»] class obfuscation action location_discovery[«<b>Acción</b> – <b>T1614.001 Descubrimiento de Ubicación del Sistema</b><br/><b>Descripción</b>: Verifica idioma/geolocalización y aborta si no es Brasil»] class location_discovery action sandbox_evasion[«<b>Acción</b> – <b>T1497.002 Evasión de Virtualización/Sandbox</b><br/><b>Descripción</b>: Comprobaciones basadas en la actividad del usuario»] class sandbox_evasion action uac_bypass[«<b>Acción</b> – <b>T1548.002 Abuso del Mecanismo de Elevación de Control: Bypass de UAC</b><br/><b>Descripción</b>: Desactiva Microsoft Defender y UAC»] class uac_bypass action persistence_startup[«<b>Acción</b> – <b>T1037.004 Scripts de Inicialización de Arranque o Inicio: RC Scripts</b><br/><b>Descripción</b>: Coloca archivo batch en la carpeta de Inicio»] class persistence_startup action batch_file[«<b>Proceso</b> – <b>Nombre</b>: HealthApp‑<GUID>.bat»] class batch_file process persistence_startup_item[«<b>Acción</b> – <b>T1037.005 Scripts de Inicialización de Arranque o Inicio: Elementos de Inicio</b><br/><b>Descripción</b>: El batch contacta periódicamente con C2»] class persistence_startup_item action process_discovery[«<b>Acción</b> – <b>T1057 Descubrimiento de Procesos</b><br/><b>Descripción</b>: Enumera procesos del navegador»] class process_discovery action session_hijack[«<b>Acción</b> – <b>T1539 Robo de Cookies de Sesión Web</b> / <b>T1185 Secuestro de Sesión del Navegador</b><br/><b>Descripción</b>: Captura cookies de sitios bancarios»] class session_hijack action web_c2_bidirectional[«<b>Acción</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/><b>Descripción</b>: Llamadas API HTTPS a zapgrande.com»] class web_c2_bidirectional action web_c2_oneway[«<b>Acción</b> – <b>T1102.003 Servicio Web: Comunicación Unidireccional</b><br/><b>Descripción</b>: Recupera payloads adicionales»] class web_c2_oneway action proxy_execution[«<b>Acción</b> – <b>T1216 Ejecución de Script Proxy del Sistema</b> y <b>T1218 Ejecución de Binario Proxy del Sistema</b><br/><b>Descripción</b>: PowerShell y cmd.exe actúan como proxies para ejecutar script remoto en memoria»] class proxy_execution action masquerading[«<b>Acción</b> – <b>T1036.001 Suplantación</b><br/><b>Descripción</b>: Archivos disfrazados como .lnk, .zip, etc., con firmas inválidas»] class masquerading action malware_payload[«<b>Malware</b> – <b>Nombre</b>: Cargador de PowerShell Ofuscado»] class malware_payload malware %% Operators op_and_location((«Y»)) class op_and_location operator %% Connections delivery_content_injection u002du002d>|entrega| phishing_service phishing_service u002du002d>|conduce a| user_execution user_execution u002du002d>|ejecuta| cmd_tool cmd_tool u002du002d>|lanza| powershell_interpreter powershell_interpreter u002du002d>|usa| powershell_tool powershell_tool u002du002d>|ejecuta| obfuscation obfuscation u002du002d>|habilita| location_discovery location_discovery u002du002d>|pasa| op_and_location sandbox_evasion u002du002d>|relacionado con| op_and_location op_and_location u002du002d>|permite| uac_bypass uac_bypass u002du002d>|establece| persistence_startup persistence_startup u002du002d>|crea| batch_file batch_file u002du002d>|llama a| web_c2_bidirectional web_c2_bidirectional u002du002d>|recupera| web_c2_oneway web_c2_oneway u002du002d>|proporciona| proxy_execution proxy_execution u002du002d>|ejecuta| malware_payload malware_payload u002du002d>|coloca| persistence_startup_item persistence_startup_item u002du002d>|contacta periódicamente con| web_c2_bidirectional process_discovery u002du002d>|identifica navegadores para| session_hijack session_hijack u002du002d>|exfiltra vía| web_c2_bidirectional proxy_execution u002du002d>|enmascarado por| masquerading %% Apply classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action
Flujo de Ataque de Coyote
Detección de Malware Coyote
IOCs (ip) para detectar: Maverick y Coyote: Analizando el Vínculo Entre Dos Troyanos Bancarios Brasileños en Evolución
Ver
IOCs (hash) para detectar: Maverick y Coyote: Analizando el Vínculo Entre Dos Troyanos Bancarios Brasileños en Evolución
Ver
Descarga o Subida a través de PowerShell (vía cmdline)
Ver
La Posibilidad de Ejecución a Través de Líneas de Comando de PowerShell Ocultas (vía cmdline)
Ver
Simulaciones
Resumen Ejecutivo
ID de Caso de Prueba: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Resumen de la Lógica de la Regla de Detección: Detecta conexiones de red salientes donde el nombre de host de destino coincide con dominios C2 conocidos del malware Coyote (zapgrande.com o sorvetenopote.com).
Lenguaje/Formato de la Regla de Detección: sigma
Entorno de Seguridad Objetivo: OS: Windows 10/Server 2019 (o posterior) Logging: Registro de conexiones de red de Windows (Plataforma de Filtrado de Windows, eventos Sysmon NetworkConnect, registros de consultas DNS) Pila de Seguridad: SIEM/EDR capaz de ingerir registros de Windows (por ejemplo, Microsoft Sentinel, Splunk, Elastic, QRadar).
Puntuación de Resiliencia (1-5): 2
Justificación: La regla se basa únicamente…
Ver Simulaciones Completas