Troyano bancario Coyote
Los investigadores descubrieron recientemente un troyano bancario único llamado 'Coyote', diseñado para recopilar credenciales para 61 aplicaciones bancarias en línea. Lo que distingue a la amenaza Coyote es su amplio ataque a aplicaciones del sector bancario, la mayoría concentradas en Brasil. Este troyano destaca por su intrincada combinación de componentes básicos y avanzados. Específicamente, emplea un instalador de código abierto relativamente nuevo llamado Squirrel, se basa en NodeJ, utiliza el lenguaje de programación menos común 'Nim' y cuenta con más de una docena de funcionalidades dañinas. Este descubrimiento significa un avance notable en el floreciente mercado de malware financiero de Brasil, lo que podría plantear desafíos importantes para los equipos de seguridad en caso de que su enfoque se expanda aún más.
Tabla de contenido
Los ciberdelincuentes brasileños se han centrado en las amenazas de troyanos bancarios
Los desarrolladores de malware brasileños han estado creando activamente troyanos bancarios durante más de dos décadas, que se remontan al menos al año 2000. A lo largo de 24 años de desarrollo continuo, en los que han navegado y superado hábilmente los métodos de autenticación y tecnologías de protección en evolución, su creatividad es evidente, como lo ejemplifica la aparición del último troyano.
Si bien los expertos actualmente destacan a Coyote como una amenaza centrada principalmente en los consumidores brasileños, las organizaciones tienen razones de peso para monitorear de cerca sus capacidades potenciales. Las tendencias pasadas indican que las familias de malware que tienen éxito en el mercado brasileño suelen ampliar su alcance a nivel internacional. Por lo tanto, las corporaciones y los bancos deben estar atentos y preparados para abordar el tema Coyote en caso de que su impacto se amplíe.
Otra consideración crucial para los equipos de seguridad radica en la progresión histórica de los troyanos bancarios que evolucionaron hacia troyanos de acceso inicial y puertas traseras completos. Ejemplos notables incluyen las transformaciones de Emotet y Trickbot y, más recientemente, QakBot y Ursinif. Este patrón subraya la importancia de prestar atención a la aparición de nuevos troyanos bancarios, ya que podrían convertirse en amenazas más sofisticadas.
El troyano bancario Coyote está equipado con un buzo lleno de capacidades dañinas
Coyote exhibe una gama mejorada de funcionalidades, lo que le permite ejecutar diversos comandos, como capturar capturas de pantalla, registrar pulsaciones de teclas, finalizar procesos, apagar la máquina y manipular el cursor. En particular, también puede provocar que la máquina se congele al superponer una pantalla engañosa que dice "Trabajando en actualizaciones...".
En su comportamiento general, Coyote sigue el patrón típico de un troyano bancario moderno. Tras la activación de una aplicación compatible en un sistema infectado, el malware se comunica con un servidor de comando y control (C2) controlado por el atacante. Luego presenta una superposición de phishing convincente en la pantalla de la víctima para capturar la información de inicio de sesión. Sin embargo, Coyote se distingue por sus hábiles tácticas de evasión contra posibles detecciones.
A diferencia de muchos troyanos bancarios que utilizan Windows Installers (MSI), fácilmente detectables por los defensores de la ciberseguridad, Coyote opta por Squirrel. Squirrel es una herramienta legítima de código abierto diseñada para instalar y actualizar aplicaciones de escritorio de Windows. Al aprovechar Squirrel, Coyote intenta camuflar su cargador de etapa inicial malicioso, presentándolo como un empaquetador de actualizaciones aparentemente inofensivo.
El cargador de la etapa final agrega otra capa de singularidad, ya que está codificado en el lenguaje de programación relativamente poco común 'Nim'. Este es uno de los primeros casos en los que se ha observado que un troyano bancario utiliza Nim.
Tradicionalmente, los troyanos bancarios se escribían predominantemente en Delphi, un lenguaje antiguo ampliamente utilizado en varias familias de malware. A medida que los métodos de detección del malware Delphi han ido mejorando a lo largo de los años, la eficacia de las infecciones ha disminuido gradualmente. Con la adopción de Nim, los desarrolladores de Coyote adoptan un lenguaje de programación más moderno, incorporando nuevas funciones y logrando una menor tasa de detección por parte del software de seguridad.
Los troyanos bancarios se han extendido hasta convertirse en una operación global
En los últimos años, Brasil se ha convertido en un epicentro mundial de malware bancario. A pesar de tener su origen en Brasil, estos programas amenazantes han demostrado la capacidad de atravesar océanos y continentes. Los operadores expertos detrás de estas amenazas poseen una amplia experiencia en el desarrollo de troyanos bancarios y muestran un gran interés en expandir sus ataques a escala global. En consecuencia, los investigadores han observado casos de troyanos bancarios brasileños dirigidos a entidades e individuos de lugares tan lejanos como Australia y Europa.
Un ejemplo digno de mención es Grandoreiro , un troyano de características similares que se infiltró con éxito no sólo en México y España, sino que también extendió su alcance mucho más allá de esas fronteras. En su apogeo, esta amenaza tuvo presencia en un total de 41 países.
Sin embargo, el éxito de estas operaciones atrajo un mayor escrutinio por parte de las autoridades. En un movimiento notable destinado a perturbar el ecosistema cibernético clandestino que facilita dicho malware, la policía brasileña ejecutó cinco órdenes de arresto temporales y 13 órdenes de registro e incautación dirigidas a los individuos responsables de Grandoreiro en cinco estados de Brasil.
