Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Análise do Trojan Bancário Coyote
O Trojan Bancário Coyote representa uma evolução avançada de malwares financeiros brasileiros, intimamente ligado à campanha Maverick anterior. Entregue por meio de arquivos LNK maliciosos disfarçados como downloads do WhatsApp, o Coyote emprega uma cadeia de infecção PowerShell em múltiplos estágios, carregadores reflexivos .NET e comunicações criptografadas de comando e controle (C2). Uma vez executado, ele mira sites locais de serviços financeiros e de criptomoedas, coletando credenciais e manipulando transações. Este relatório fornece aos centros de operações de segurança (SOC) inteligência acionável, indicadores de comprometimento (IOCs) e medidas defensivas para detectar, conter e simular intrusões ao estilo Coyote.
Investigação do Malware Coyote
Pesquisadores de segurança identificaram que infecções pelo Coyote se originam de arquivos ZIP maliciosos baixados por meio de web.whatsapp.com. Dentro desses arquivos, arquivos de atalho (LNK) lançam comandos PowerShell aninhados codificados com Base64 e UTF-16LE, que recuperam scripts de zapgrande[.]com. O carregador inicial desativa o Microsoft Defender e o Controle de Conta de Usuário (UAC) antes de implantar um carregador reflexivo .NET que executa cargas úteis diretamente na memória. A persistência é mantida por meio de um arquivo batch (“HealthApp-<GUID>.bat”) colocado na pasta de inicialização. O malware valida o local brasileiro da vítima, enumera navegadores e compara URLs bancárias criptografadas por meio de rotinas AES-CBC-GZIP. Sobreposições de código e lógica de criptografia ligam o Coyote à família de trojans Maverick.
Mitigação do Trojan Coyote
As equipes de SOC devem priorizar uma estratégia de defesa em camadas contra a cadeia de infecção do Coyote. As organizações devem restringir o acesso dos empregados ao WhatsApp Web e serviços de mensagens similares, enquanto implementam treinamentos de conscientização resistentes a phishing. Implantar ferramentas avançadas de detecção e resposta de endpoint (EDR) capazes de identificar atividade PowerShell codificada, carregamento reflexivo .NET e criação não autorizada de arquivos batch. Bloquear domínios C2 conhecidos, como zapgrande[.]com and sorvetenopote[.]com, impor políticas estritas de execução de PowerShell e garantir que assinaturas de antivírus e regras comportamentais sejam continuamente atualizadas para identificar variantes emergentes.
Resposta ao Malware Bancário Coyote
Após a detecção, os respondedores de incidentes devem imediatamente isolar os endpoints afetados e iniciar consultas de caçar-ameaças no Microsoft Defender for Endpoint ou plataformas SIEM semelhantes para localizar execuções do PowerShell provenientes de downloads do WhatsApp. Quarentenar ou excluir arquivos LNK, ZIP e batch que correspondem a IOCs conhecidos, e bloquear a infraestrutura C2 associada nas camadas de firewall e DNS. Analistas devem remover quaisquer artefatos de persistência HealthApp-*.bat , redefinir credenciais bancárias comprometidas e reforçar a autenticação multifator em plataformas financeiras. Uma revisão forense abrangente é necessária para confirmar a remoção de carregadores na memória e cargas secundárias.
graph TB %% Definições de Classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nós delivery_content_injection[“<b>Ação</b> – <b>T1659 Injeção de Conteúdo</b><br /><b>Descrição</b>: Arquivos ZIP/LNK maliciosos enviados pelo WhatsApp Web”] class delivery_content_injection action phishing_service[“<b>Ação</b> – <b>T1566.003 Phishing: Spearphishing via Serviço</b><br /><b>Descrição</b>: Usar o WhatsApp como serviço para distribuir carga maliciosa”] class phishing_service action user_execution[“<b>Ação</b> – <b>T1204.002 Execução pelo Usuário</b><br /><b>Descrição</b>: A vítima abre o atalho e aciona um cmd ofuscado”] class user_execution action cmd_tool[“<b>Ferramenta</b> – <b>Nome</b>: cmd.exe”] class cmd_tool tool powershell_interpreter[“<b>Ação</b> – <b>T1059.001 PowerShell</b><br /><b>Descrição</b>: Decodifica a carga Base64 e executa comandos”] class powershell_interpreter action powershell_tool[“<b>Ferramenta</b> – <b>Nome</b>: PowerShell”] class powershell_tool tool obfuscation[“<b>Ação</b> – <b>T1027.014 Arquivos ou Informações Ofuscados</b><br /><b>Descrição</b>: Código polimórfico, tokens divididos, loops FOR aninhados, Base64 e UTF‑16LE”] class obfuscation action location_discovery[“<b>Ação</b> – <b>T1614.001 Descoberta da Localização do Sistema</b><br /><b>Descrição</b>: Verifica idioma/geolocalização e aborta se não for Brasil”] class location_discovery action sandbox_evasion[“<b>Ação</b> – <b>T1497.002 Evasão de Virtualização/Sandbox</b><br /><b>Descrição</b>: Verificações baseadas em atividade do usuário”] class sandbox_evasion action uac_bypass[“<b>Ação</b> – <b>T1548.002 Abuso do Mecanismo de Controle de Elevação: Ignorar o Controle de Conta de Usuário</b><br /><b>Descrição</b>: Desativa o Microsoft Defender e o UAC”] class uac_bypass action persistence_startup[“<b>Ação</b> – <b>T1037.004 Scripts de Inicialização ou Logon: Scripts RC</b><br /><b>Descrição</b>: Executa arquivo batch na pasta de Inicialização”] class persistence_startup action batch_file[“<b>Processo</b> – <b>Nome</b>: HealthApp‑.bat”] class batch_file process persistence_startup_item[“<b>Ação</b> – <b>T1037.005 Scripts de Inicialização ou Logon: Itens de Inicialização</b><br /><b>Descrição</b>: Contata o C2 periodicamente via batch”] class persistence_startup_item action process_discovery[“<b>Ação</b> – <b>T1057 Descoberta de Processos</b><br /><b>Descrição</b>: Enumera processos de navegadores”] class process_discovery action session_hijack[“<b>Ação</b> – <b>T1539 Roubo de Cookie de Sessão Web</b> / <b>T1185 Sequestro de Sessão de Navegador</b><br /><b>Descrição</b>: Captura cookies de sites bancários”] class session_hijack action web_c2_bidirectional[“<b>Ação</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br /><b>Descrição</b>: Chamadas de API HTTPS para zapgrande.com”] class web_c2_bidirectional action web_c2_oneway[“<b>Ação</b> – <b>T1102.003 Serviço Web: Comunicação Unidirecional</b><br /><b>Descrição</b>: Recupera cargas adicionais”] class web_c2_oneway action proxy_execution[“<b>Ação</b> – <b>T1216 Execução por Proxy de Script do Sistema</b> e <b>T1218 Execução por Proxy de Binário do Sistema</b><br /><b>Descrição</b>: PowerShell e cmd.exe atuam como proxies para executar scripts remotos em memória”] class proxy_execution action masquerading[“<b>Ação</b> – <b>T1036.001 Disfarce (Masquerading)</b><br /><b>Descrição</b>: Arquivos disfarçados como .lnk, .zip etc., com assinaturas inválidas”] class masquerading action malware_payload[“<b>Malware</b> – <b>Nome</b>: Carregador PowerShell Ofuscado”] class malware_payload malware %% Operadores op_and_location((“E”)) class op_and_location operator %% Conexões delivery_content_injection u002du002d>|entrega| phishing_service phishing_service u002du002d>|leva a| user_execution user_execution u002du002d>|executa| cmd_tool cmd_tool u002du002d>|inicia| powershell_interpreter powershell_interpreter u002du002d>|usa| powershell_tool powershell_tool u002du002d>|executa| obfuscation obfuscation u002du002d>|permite| location_discovery location_discovery u002du002d>|passa| op_and_location sandbox_evasion u002du002d>|relacionado a| op_and_location op_and_location u002du002d>|permite| uac_bypass uac_bypass u002du002d>|estabelece| persistence_startup persistence_startup u002du002d>|cria| batch_file batch_file u002du002d>|chama| web_c2_bidirectional web_c2_bidirectional u002du002d>|recupera| web_c2_oneway web_c2_oneway u002du002d>|fornece| proxy_execution proxy_execution u002du002d>|executa| malware_payload malware_payload u002du002d>|deposita| persistence_startup_item persistence_startup_item u002du002d>|contata periodicamente| web_c2_bidirectional process_discovery u002du002d>|identifica navegadores para| session_hijack session_hijack u002du002d>|exfiltra via| web_c2_bidirectional proxy_execution u002du002d>|mascarado por| masquerading %% Aplicação de classes class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action
Fluxo de Ataque Coyote
Detecção de Malware Coyote
IOCs (ip) para detectar: Maverick e Coyote: Analisando a Ligação Entre Dois Trojans Bancários Brasileiros em Evolução
Visualizar
IOCs (hash) para detectar: Maverick e Coyote: Analisando a Ligação Entre Dois Trojans Bancários Brasileiros em Evolução
Visualizar
Download ou Upload via Powershell (via cmdline)
Visualizar
A Possibilidade de Execução Através de Linhas de Comando PowerShell Ocultas (via cmdline)
Visualizar
Simulações
Resumo Executivo
ID do Caso de Teste: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Resumo da Lógica da Regra de Detecção: Detecta conexões de rede de saída onde o nome de host de destino corresponde a domínios C2 conhecidos de malware Coyote (zapgrande.com ou sorvetenopote.com).
Linguagem/Formato da Regra de Detecção: sigma
Ambiente de Segurança Alvo: SO: Windows 10/Server 2019 (ou posterior) Log: log de conexões de rede do Windows (Plataforma de Filtragem do Windows, eventos Sysmon NetworkConnect, logs de consultas DNS) Pilha de Segurança: SIEM/EDR capaz de ingerir logs do Windows (por exemplo, Microsoft Sentinel, Splunk, Elastic, QRadar)
Pontuação de Resiliência (1-5): 2
Justificação: A regra se baseia unicamente…
Ver Todas as Simulações