Malware Coyote en Banca: Informe de Amenazas para el SOC
Detection stack
- AIDR
- Alert
- ETL
- Query
Análisis del Troyano Bancario Coyote
El Troyano Bancario Coyote representa una evolución avanzada del malware financiero brasileño, estrechamente vinculado con la anterior campaña Maverick. Distribuido a través de archivos LNK maliciosos disfrazados de descargas de WhatsApp, Coyote emplea una cadena de infección de PowerShell en múltiples etapas, cargadores .NET reflectivos y comunicaciones de comando y control (C2) cifradas. Una vez ejecutado, se dirige a sitios web locales de servicios financieros y de criptomonedas, recopilando credenciales y manipulando transacciones. Este informe proporciona a los centros de operaciones de seguridad (SOC) inteligencia procesable, indicadores de compromiso (IOCs) y medidas defensivas para detectar, contener y simular intrusiones al estilo de Coyote.
Investigación de Malware Coyote
Los investigadores de seguridad identificaron que las infecciones de Coyote se originan a partir de archivos ZIP maliciosos descargados a través de web.whatsapp.com. Dentro de estos archivos, los archivos de acceso directo (LNK) lanzan comandos de PowerShell anidados codificados con Base64 y UTF-16LE, que recuperan scripts de zapgrande[.]com. El cargador inicial desactiva Microsoft Defender y UAC antes de desplegar un cargador reflectivo .NET que ejecuta cargas útiles directamente en la memoria. La persistencia se mantiene mediante un archivo batch (“HealthApp-<GUID>.bat”) colocado en la carpeta de inicio. El malware valida la configuración local brasileña de la víctima, enumera los navegadores y coincide con URL bancarias cifradas a través de rutinas AES-CBC-GZIP. La superposición de código y la lógica de cifrado vinculan a Coyote con la familia de troyanos Maverick.
Mitigación del Troyano Coyote
Los equipos SOC deben priorizar una estrategia de defensa en capas contra la cadena de infección de Coyote. Las organizaciones deben restringir el acceso de los empleados a WhatsApp Web y servicios de mensajería similares, al tiempo que implementan capacitación sobre concienciación resistente al phishing. Despliegue herramientas avanzadas de detección y respuesta en puntos finales (EDR) capaces de identificar actividad de PowerShell codificada, carga .NET reflectiva y creación no autorizada de archivos batch. Bloquee dominios C2 conocidos como zapgrande[.]com and sorvetenopote[.]com, aplique políticas estrictas de ejecución de PowerShell y asegúrese de que las firmas de antivirus y las reglas de comportamiento se actualicen continuamente para identificar variantes emergentes.
Respuesta al Malware Bancario Coyote
Una vez detectado, los respondedores de incidentes deben aislar inmediatamente los puntos finales afectados e iniciar consultas de caza de amenazas en Microsoft Defender para Endpoint o plataformas SIEM similares para localizar ejecuciones de PowerShell derivadas de descargas de WhatsApp. Cuaretenar o eliminar archivos LNK, ZIP, y batch que coincidan con IOCs conocidos y bloquear la infraestructura C2 asociada en las capas de firewall y DNS. Los analistas deben eliminar cualquier HealthApp-*.bat , restablecer credenciales bancarias comprometidas y aplicar autenticación multifactor en todas las plataformas financieras. Se requiere una revisión forense exhaustiva para confirmar la eliminación de cargadores en memoria y cargas útiles secundarias.
Flujo de Ataque de Coyote
Detección de Malware Coyote
IOCs (ip) para detectar: Maverick y Coyote: Analizando el Vínculo Entre Dos Troyanos Bancarios Brasileños en Evolución
Ver
IOCs (hash) para detectar: Maverick y Coyote: Analizando el Vínculo Entre Dos Troyanos Bancarios Brasileños en Evolución
Ver
Descarga o Subida a través de PowerShell (vía cmdline)
Ver
La Posibilidad de Ejecución a Través de Líneas de Comando de PowerShell Ocultas (vía cmdline)
Ver
Simulaciones
Resumen Ejecutivo
ID de Caso de Prueba: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Resumen de la Lógica de la Regla de Detección: Detecta conexiones de red salientes donde el nombre de host de destino coincide con dominios C2 conocidos del malware Coyote (zapgrande.com o sorvetenopote.com).
Lenguaje/Formato de la Regla de Detección: sigma
Entorno de Seguridad Objetivo: OS: Windows 10/Server 2019 (o posterior) Logging: Registro de conexiones de red de Windows (Plataforma de Filtrado de Windows, eventos Sysmon NetworkConnect, registros de consultas DNS) Pila de Seguridad: SIEM/EDR capaz de ingerir registros de Windows (por ejemplo, Microsoft Sentinel, Splunk, Elastic, QRadar).
Puntuación de Resiliencia (1-5): 2
Justificación: La regla se basa únicamente…
Ver Simulaciones Completas