Logiciel malveillant bancaire Coyote : Rapport de menace SOC
Detection stack
- AIDR
- Alert
- ETL
- Query
Analyse du Cheval de Troie Bancaire Coyote
Le Cheval de Troie Bancaire Coyote représente une évolution avancée des malwares financiers brésiliens, étroitement lié à la campagne Maverick antérieure. Distribué via des fichiers LNK malveillants déguisés en téléchargements WhatsApp, Coyote utilise une chaîne d’infection PowerShell en plusieurs étapes, des chargeurs .NET réflexifs, et des communications de commande et de contrôle (C2) chiffrées. Une fois exécuté, il cible les sites de services financiers et cryptographiques locaux, récoltant des identifiants et manipulant des transactions. Ce rapport fournit aux centres d’opérations de sécurité (SOC) des renseignements exploitables, des indicateurs de compromission (IOC), et des mesures défensives pour détecter, contenir et simuler des intrusions de type Coyote.
Investigation sur le Malware Coyote
Des chercheurs en sécurité ont identifié que les infections Coyote proviennent d’archives ZIP malveillantes téléchargées via web.whatsapp.com. À l’intérieur de ces archives, des fichiers raccourcis (LNK) lancent des commandes PowerShell imbriquées encodées en Base64 et UTF-16LE, qui récupèrent des scripts depuis zapgrande[.]com. Le chargeur initial désactive Microsoft Defender et le contrôle d’accès utilisateur (UAC) avant de déployer un chargeur réfléchi .NET qui exécute des charges utiles directement en mémoire. La persistance est maintenue via un fichier batch (« HealthApp-<GUID>.bat ») placé dans le dossier de démarrage. Le malware valide la région locale brésilienne de la victime, répertorie les navigateurs et fait correspondre les URL bancaires chiffrées via des routines AES-CBC-GZIP. Les chevauchements de code et la logique de chiffrement relient Coyote à la famille de Trojans Maverick.
Atténuation du Cheval de Troie Coyote
Les équipes SOC devraient donner la priorité à une stratégie de défense en couches contre la chaîne d’infection de Coyote. Les organisations doivent restreindre l’accès des employés à WhatsApp Web et à des services de messagerie similaires, tout en mettant en œuvre une formation de sensibilisation anti-hameçonnage. Déployer des outils avancés de détection et de réponse sur les points de terminaison (EDR) capables d’identifier l’activité PowerShell encodée, le chargement réflexif .NET, et la création non autorisée de fichiers batch. Bloquer les domaines C2 connus tels que zapgrande[.]com and sorvetenopote[.]com, appliquer des politiques d’exécution PowerShell strictes, et s’assurer que les signatures antivirus et les règles comportementales sont continuellement mises à jour pour identifier les variantes émergentes.
Réponse au Malware Bancaire Coyote
Dès la détection, les intervenants en cas d’incident devraient isoler immédiatement les points de terminaison affectés et initier des requêtes de chasse aux menaces dans Microsoft Defender for Endpoint ou des plateformes SIEM similaires pour localiser les exécutions PowerShell provenant de téléchargements WhatsApp. Mettre en quarantaine ou supprimer les fichiers LNK, ZIP et batch correspondant aux IOC connus, et bloquer l’infrastructure C2 associée au niveau du pare-feu et des couches DNS. Les analystes devraient supprimer tout artefact de persistance HealthApp-*.bat , réinitialiser les identifiants bancaires compromis, et appliquer l’authentification multi-facteurs sur les plateformes financières. Un examen médico-légal complet est requis pour confirmer la suppression des chargeurs en mémoire et des charges utiles secondaires.
Flux d’Attaque Coyote
Détection de Malware Coyote
IOC (ip) pour détecter : Maverick et Coyote : Analyser le lien entre deux Chevaux de Troie Bancaires Brésiliens Évolutifs
Voir
IOC (hash) pour détecter : Maverick et Coyote : Analyser le lien entre deux Chevaux de Troie Bancaires Brésiliens Évolutifs
Voir
Téléchargement ou Upload via PowerShell (via cmdline)
Voir
Possibilité d’Exécution à travers des Lignes de Commande PowerShell Cachées (via cmdline)
Voir
Simulations
Résumé Exécutif
ID de Cas de Test : TC-20251112-A7Z3K
TTPs : T1102.001, T1102
Résumé de la Logique des Règles de Détection : Détecte les connexions réseau sortantes où le nom d’hôte de destination correspond à des domaines C2 connus du malware Coyote (zapgrande.com ou sorvetenopote.com).
Langage/Formater des Règles de Détection : sigma
Environnement de Sécurité Cible : OS : Windows 10/Server 2019 (ou plus récent) Journalisation : journaux de connexion réseau de Windows (Plateforme de Filtrage Windows, événements Sysmon NetworkConnect, journaux de requêtes DNS) Pile de Sécurité : SIEM/EDR capable d’ingérer des journaux Windows (par exemple, Microsoft Sentinel, Splunk, Elastic, QRadar)
Score de Résilience (1-5) : 2
Justification : La règle repose uniquement…
Voir Simulations Complètes