Malware Bancário Coyote: Relatório de Ameaças SOC
Detection stack
- AIDR
- Alert
- ETL
- Query
Análise do Trojan Bancário Coyote
O Trojan Bancário Coyote representa uma evolução avançada de malwares financeiros brasileiros, intimamente ligado à campanha Maverick anterior. Entregue por meio de arquivos LNK maliciosos disfarçados como downloads do WhatsApp, o Coyote emprega uma cadeia de infecção PowerShell em múltiplos estágios, carregadores reflexivos .NET e comunicações criptografadas de comando e controle (C2). Uma vez executado, ele mira sites locais de serviços financeiros e de criptomoedas, coletando credenciais e manipulando transações. Este relatório fornece aos centros de operações de segurança (SOC) inteligência acionável, indicadores de comprometimento (IOCs) e medidas defensivas para detectar, conter e simular intrusões ao estilo Coyote.
Investigação do Malware Coyote
Pesquisadores de segurança identificaram que infecções pelo Coyote se originam de arquivos ZIP maliciosos baixados por meio de web.whatsapp.com. Dentro desses arquivos, arquivos de atalho (LNK) lançam comandos PowerShell aninhados codificados com Base64 e UTF-16LE, que recuperam scripts de zapgrande[.]com. O carregador inicial desativa o Microsoft Defender e o Controle de Conta de Usuário (UAC) antes de implantar um carregador reflexivo .NET que executa cargas úteis diretamente na memória. A persistência é mantida por meio de um arquivo batch (“HealthApp-<GUID>.bat”) colocado na pasta de inicialização. O malware valida o local brasileiro da vítima, enumera navegadores e compara URLs bancárias criptografadas por meio de rotinas AES-CBC-GZIP. Sobreposições de código e lógica de criptografia ligam o Coyote à família de trojans Maverick.
Mitigação do Trojan Coyote
As equipes de SOC devem priorizar uma estratégia de defesa em camadas contra a cadeia de infecção do Coyote. As organizações devem restringir o acesso dos empregados ao WhatsApp Web e serviços de mensagens similares, enquanto implementam treinamentos de conscientização resistentes a phishing. Implantar ferramentas avançadas de detecção e resposta de endpoint (EDR) capazes de identificar atividade PowerShell codificada, carregamento reflexivo .NET e criação não autorizada de arquivos batch. Bloquear domínios C2 conhecidos, como zapgrande[.]com and sorvetenopote[.]com, impor políticas estritas de execução de PowerShell e garantir que assinaturas de antivírus e regras comportamentais sejam continuamente atualizadas para identificar variantes emergentes.
Resposta ao Malware Bancário Coyote
Após a detecção, os respondedores de incidentes devem imediatamente isolar os endpoints afetados e iniciar consultas de caçar-ameaças no Microsoft Defender for Endpoint ou plataformas SIEM semelhantes para localizar execuções do PowerShell provenientes de downloads do WhatsApp. Quarentenar ou excluir arquivos LNK, ZIP e batch que correspondem a IOCs conhecidos, e bloquear a infraestrutura C2 associada nas camadas de firewall e DNS. Analistas devem remover quaisquer artefatos de persistência HealthApp-*.bat , redefinir credenciais bancárias comprometidas e reforçar a autenticação multifator em plataformas financeiras. Uma revisão forense abrangente é necessária para confirmar a remoção de carregadores na memória e cargas secundárias.
Fluxo de Ataque Coyote
Detecção de Malware Coyote
IOCs (ip) para detectar: Maverick e Coyote: Analisando a Ligação Entre Dois Trojans Bancários Brasileiros em Evolução
Visualizar
IOCs (hash) para detectar: Maverick e Coyote: Analisando a Ligação Entre Dois Trojans Bancários Brasileiros em Evolução
Visualizar
Download ou Upload via Powershell (via cmdline)
Visualizar
A Possibilidade de Execução Através de Linhas de Comando PowerShell Ocultas (via cmdline)
Visualizar
Simulações
Resumo Executivo
ID do Caso de Teste: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
Resumo da Lógica da Regra de Detecção: Detecta conexões de rede de saída onde o nome de host de destino corresponde a domínios C2 conhecidos de malware Coyote (zapgrande.com ou sorvetenopote.com).
Linguagem/Formato da Regra de Detecção: sigma
Ambiente de Segurança Alvo: SO: Windows 10/Server 2019 (ou posterior) Log: log de conexões de rede do Windows (Plataforma de Filtragem do Windows, eventos Sysmon NetworkConnect, logs de consultas DNS) Pilha de Segurança: SIEM/EDR capaz de ingerir logs do Windows (por exemplo, Microsoft Sentinel, Splunk, Elastic, QRadar)
Pontuação de Resiliência (1-5): 2
Justificação: A regra se baseia unicamente…
Ver Todas as Simulações