SOC Prime Bias: Medio

12 Nov 2025 13:49 UTC

Malware Coyote en Banca: Informe de Amenazas para el SOC

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Malware Coyote en Banca: Informe de Amenazas para el SOC
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Análisis del Troyano Bancario Coyote

El Troyano Bancario Coyote representa una evolución avanzada del malware financiero brasileño, estrechamente vinculado con la anterior campaña Maverick. Distribuido a través de archivos LNK maliciosos disfrazados de descargas de WhatsApp, Coyote emplea una cadena de infección de PowerShell en múltiples etapas, cargadores .NET reflectivos y comunicaciones de comando y control (C2) cifradas. Una vez ejecutado, se dirige a sitios web locales de servicios financieros y de criptomonedas, recopilando credenciales y manipulando transacciones. Este informe proporciona a los centros de operaciones de seguridad (SOC) inteligencia procesable, indicadores de compromiso (IOCs) y medidas defensivas para detectar, contener y simular intrusiones al estilo de Coyote.

Investigación de Malware Coyote

Los investigadores de seguridad identificaron que las infecciones de Coyote se originan a partir de archivos ZIP maliciosos descargados a través de web.whatsapp.com. Dentro de estos archivos, los archivos de acceso directo (LNK) lanzan comandos de PowerShell anidados codificados con Base64 y UTF-16LE, que recuperan scripts de zapgrande[.]com. El cargador inicial desactiva Microsoft Defender y UAC antes de desplegar un cargador reflectivo .NET que ejecuta cargas útiles directamente en la memoria. La persistencia se mantiene mediante un archivo batch (“HealthApp-<GUID>.bat”) colocado en la carpeta de inicio. El malware valida la configuración local brasileña de la víctima, enumera los navegadores y coincide con URL bancarias cifradas a través de rutinas AES-CBC-GZIP. La superposición de código y la lógica de cifrado vinculan a Coyote con la familia de troyanos Maverick.

Mitigación del Troyano Coyote

Los equipos SOC deben priorizar una estrategia de defensa en capas contra la cadena de infección de Coyote. Las organizaciones deben restringir el acceso de los empleados a WhatsApp Web y servicios de mensajería similares, al tiempo que implementan capacitación sobre concienciación resistente al phishing. Despliegue herramientas avanzadas de detección y respuesta en puntos finales (EDR) capaces de identificar actividad de PowerShell codificada, carga .NET reflectiva y creación no autorizada de archivos batch. Bloquee dominios C2 conocidos como zapgrande[.]com and sorvetenopote[.]com, aplique políticas estrictas de ejecución de PowerShell y asegúrese de que las firmas de antivirus y las reglas de comportamiento se actualicen continuamente para identificar variantes emergentes.

Respuesta al Malware Bancario Coyote

Una vez detectado, los respondedores de incidentes deben aislar inmediatamente los puntos finales afectados e iniciar consultas de caza de amenazas en Microsoft Defender para Endpoint o plataformas SIEM similares para localizar ejecuciones de PowerShell derivadas de descargas de WhatsApp. Cuaretenar o eliminar archivos LNK, ZIP, y batch que coincidan con IOCs conocidos y bloquear la infraestructura C2 asociada en las capas de firewall y DNS. Los analistas deben eliminar cualquier HealthApp-*.bat , restablecer credenciales bancarias comprometidas y aplicar autenticación multifactor en todas las plataformas financieras. Se requiere una revisión forense exhaustiva para confirmar la eliminación de cargadores en memoria y cargas útiles secundarias.

Flujo de Ataque de Coyote

Simulaciones

Resumen Ejecutivo

ID de Caso de Prueba: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Resumen de la Lógica de la Regla de Detección: Detecta conexiones de red salientes donde el nombre de host de destino coincide con dominios C2 conocidos del malware Coyote (zapgrande.com o sorvetenopote.com).
Lenguaje/Formato de la Regla de Detección: sigma
Entorno de Seguridad Objetivo: OS: Windows 10/Server 2019 (o posterior) Logging: Registro de conexiones de red de Windows (Plataforma de Filtrado de Windows, eventos Sysmon NetworkConnect, registros de consultas DNS) Pila de Seguridad: SIEM/EDR capaz de ingerir registros de Windows (por ejemplo, Microsoft Sentinel, Splunk, Elastic, QRadar).
Puntuación de Resiliencia (1-5): 2
Justificación: La regla se basa únicamente…
Ver Simulaciones Completas