Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Analisi del Trojan bancario Coyote
Il Trojan bancario Coyote rappresenta un’evoluzione avanzata del malware finanziario brasiliano, strettamente collegato alla precedente campagna Maverick. Distribuito tramite file LNK malevoli mascherati da download di WhatsApp, Coyote impiega una catena di infezione PowerShell a più stadi, loader .NET riflettenti e comunicazioni di comando-e-controllo (C2) crittografate. Una volta eseguito, prende di mira i siti web dei servizi finanziari e di criptovaluta locali, raccogliendo credenziali e manipolando transazioni. Questo report fornisce ai centri operativi di sicurezza (SOC) intelligence attuabile, indicatori di compromissione (IOC) e misure difensive per rilevare, contenere e simulare intrusioni in stile Coyote.
Indagine sul malware Coyote
I ricercatori della sicurezza hanno identificato che le infezioni di Coyote originano da archivi ZIP malevoli scaricati tramite web.whatsapp.com. All’interno di questi archivi, file di scorciatoia (LNK) avviano comandi PowerShell annidati codificati con Base64 e UTF-16LE, che recuperano script da zapgrande[.]com. Il loader iniziale disabilita Microsoft Defender e UAC prima di distribuire un loader .NET riflettente che esegue payload direttamente in memoria. La persistenza è mantenuta tramite un file batch (“HealthApp-<GUID>.bat”) posizionato nella cartella dell’avvio. Il malware valida la localizzazione brasiliana della vittima, enumera i browser e abbina gli URL bancari crittografati tramite routine AES-CBC-GZIP. Sovrapposizioni di codice e logiche di crittografia collegano Coyote alla famiglia di Trojan Maverick.
Mitigazione del Trojan Coyote
I team SOC dovrebbero dare priorità a una strategia di difesa a più livelli contro la catena di infezione di Coyote. Le organizzazioni devono limitare l’accesso dei dipendenti a WhatsApp Web e servizi di messaggistica simili, implementando nel contempo una formazione sulla consapevolezza a prova di phishing. Distribuire strumenti avanzati di rilevamento ed risposta degli endpoint (EDR) capaci di identificare l’attività PowerShell codificata, il caricamento .NET riflettente, e la creazione non autorizzata di file batch. Bloccare domini C2 noti come zapgrande[.]com and sorvetenopote[.]com, applicare politiche di esecuzione di PowerShell rigide, e assicurarsi che le firme antivirus e le regole comportamentali siano continuamente aggiornate per identificare varianti emergenti.
Risposta al malware Coyote Bank
Alla rilevazione, i risponditori agli incidenti devono immediatamente isolare gli endpoint interessati e avviare query di caccia alle minacce in Microsoft Defender per Endpoint o piattaforme SIEM simili per individuare esecuzioni PowerShell derivanti da download di WhatsApp. Mettere in quarantena o eliminare file LNK, ZIP e batch che corrispondono agli IOC noti, e bloccare l’infrastruttura C2 associata a livello di firewall e DNS. Gli analisti devono rimuovere eventuali artefatti di persistenza HealthApp-*.bat , reimpostare le credenziali bancarie compromesse, e imporre l’autenticazione multifattoriale attraverso le piattaforme finanziarie. È necessaria una revisione forense completa per confermare la rimozione dei loader in memoria e dei payload secondari.
mermaid graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nodes delivery_content_injection[“<b>Azione</b> – <b>T1659 Iniezione di Contenuti</b><br/><b>Descrizione</b>: File ZIP/LNK malevoli inviati tramite WhatsApp Web”] class delivery_content_injection action phishing_service[“<b>Azione</b> – <b>T1566.003 Phishing: Spearphishing via Servizio</b><br/><b>Descrizione</b>: Utilizzare WhatsApp come servizio per distribuire payload malevoli”] class phishing_service action user_execution[“<b>Azione</b> – <b>T1204.002 Esecuzione Utente</b><br/><b>Descrizione</b>: La vittima apre un collegamento, innesca cmd offuscato”] class user_execution action cmd_tool[“<b>Strumento</b> – <b>Nome</b>: cmd.exe”] class cmd_tool tool powershell_interpreter[“<b>Azione</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: Decodifica payload Base64 ed esegue comandi”] class powershell_interpreter action powershell_tool[“<b>Strumento</b> – <b>Nome</b>: PowerShell”] class powershell_tool tool obfuscation[“<b>Azione</b> – <b>T1027.014 File o Informazioni Offuscati</b><br/><b>Descrizione</b>: Codice polimorfico, token divisi, loop FOR annidati, Base64 e UTF‑16LE”] class obfuscation action location_discovery[“<b>Azione</b> – <b>T1614.001 Scoperta della Posizione del Sistema</b><br/><b>Descrizione</b>: Controlla lingua/posizione geografica e si interrompe se non è Brasile”] class location_discovery action sandbox_evasion[“<b>Azione</b> – <b>T1497.002 Evasione Virtualizzazione/Sandbox</b><br/><b>Descrizione</b>: Controlli basati sull’attività dell’utente”] class sandbox_evasion action uac_bypass[“<b>Azione</b> – <b>T1548.002 Abuso del Meccanismo di Controllo dell’Elevazione: Bypassa il Controllo dell’Account Utente</b><br/><b>Descrizione</b>: Disabilita Microsoft Defender e UAC”] class uac_bypass action persistence_startup[“<b>Azione</b> – <b>T1037.004 Script di Inizializzazione di Avvio o Accesso: Script RC</b><br/><b>Descrizione</b>: Rilascia un file batch nella cartella di avvio”] class persistence_startup action batch_file[“<b>Processo</b> – <b>Nome</b>: HealthApp‑<GUID>.bat”] class batch_file process persistence_startup_item[“<b>Azione</b> – <b>T1037.005 Script di Inizializzazione di Avvio o Accesso: Elementi di Avvio</b><br/><b>Descrizione</b>: Il batch contatta periodicamente il C2”] class persistence_startup_item action process_discovery[“<b>Azione</b> – <b>T1057 Scoperta del Processo</b><br/><b>Descrizione</b>: Enumera i processi del browser”] class process_discovery action session_hijack[“<b>Azione</b> – <b>T1539 Rubare il Cookie di Sessione Web</b> / <b>T1185 Hijacking della Sessione del Browser</b><br/><b>Descrizione</b>: Cattura cookie dai siti bancari”] class session_hijack action web_c2_bidirectional[“<b>Azione</b> – <b>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br/><b>Descrizione</b>: Chiamate API HTTPS a zapgrande.com”] class web_c2_bidirectional action web_c2_oneway[“<b>Azione</b> – <b>T1102.003 Servizio Web: Comunicazione a Senso Unico</b><br/><b>Descrizione</b>: Recupera payload aggiuntivi”] class web_c2_oneway action proxy_execution[“<b>Azione</b> – <b>T1216 Esecuzione Proxy di Script di Sistema</b> e <b>T1218 Esecuzione Proxy Binaria di Sistema</b><br/><b>Descrizione</b>: PowerShell e cmd.exe agiscono come proxy per eseguire lo script remoto in memoria”] class proxy_execution action masquerading[“<b>Azione</b> – <b>T1036.001 Mascheramento</b><br/><b>Descrizione</b>: File camuffati da .lnk, .zip, ecc., con firme non valide”] class masquerading action malware_payload[“<b>Malware</b> – <b>Nome</b>: Loader PowerShell Offuscato”] class malware_payload malware %% Operators op_and_location((“AND”)) class op_and_location operator %% Connections delivery_content_injection u002du002d>|delivers| phishing_service phishing_service u002du002d>|leads to| user_execution user_execution u002du002d>|executes| cmd_tool cmd_tool u002du002d>|launches| powershell_interpreter powershell_interpreter u002du002d>|uses| powershell_tool powershell_tool u002du002d>|runs| obfuscation obfuscation u002du002d>|enables| location_discovery location_discovery u002du002d>|passes| op_and_location sandbox_evasion u002du002d>|related to| op_and_location op_and_location u002du002d>|allows| uac_bypass uac_bypass u002du002d>|establishes| persistence_startup persistence_startup u002du002d>|creates| batch_file batch_file u002du002d>|calls| web_c2_bidirectional web_c2_bidirectional u002du002d>|retrieves| web_c2_oneway web_c2_oneway u002du002d>|provides| proxy_execution proxy_execution u002du002d>|executes| malware_payload malware_payload u002du002d>|drops| persistence_startup_item persistence_startup_item u002du002d>|periodically contacts| web_c2_bidirectional process_discovery u002du002d>|identifies browsers for| session_hijack session_hijack u002du002d>|exfiltrates via| web_c2_bidirectional proxy_execution u002du002d>|masked by| masquerading %% Apply classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action
Flusso d’attacco Coyote
Rilevamento del malware Coyote
IOC (ip) per rilevare: Maverick e Coyote: Analisi del Collegamento tra Due Evoluzioni di Trojan Bancari Brasiliani
Visualizza
IOC (hash) per rilevare: Maverick e Coyote: Analisi del Collegamento tra Due Evoluzioni di Trojan Bancari Brasiliani
Visualizza
Download o Upload via Powershell (via cmdline)
Visualizza
Possibilità di Esecuzione Attraverso Linee di Comando PowerShell Nascoste (via cmdline)
Visualizza
Simulazioni
Riepilogo Esecutivo
ID Caso di Testo: TC-20251112-A7Z3K
TTP: T1102.001, T1102
Riepilogo della Logica della Regola di Rilevamento: Rileva connessioni di rete in uscita dove il nome host di destinazione corrisponde ai domini C2 del malware Coyote noti (zapgrande.com o sorvetenopote.com).
Linguaggio/Formato della Regola di Rilevamento: sigma
Ambiente di Sicurezza Target: OS: Windows 10/Server 2019 (o successivi) Log: registri delle connessioni di rete Windows (Windows Filtering Platform, eventi di Sysmon NetworkConnect, registri delle query DNS) Stack di Sicurezza: SIEM/EDR capaci di ingerire log di Windows (ad es., Microsoft Sentinel, Splunk, Elastic, QRadar)
Punteggio di Resilienza (1-5): 2
Giustificazione: La regola si basa esclusivamente…
Visualizza Simulazioni Complete