Il malware Coyote ha recentemente ampliato il suo raggio d'azione, prendendo di mira 1.030 siti e 73 istituzioni finanziarie. Questo malware, che colpisce principalmente gli utenti Windows in Brasile, è stato scoperto mentre distribuiva il trojan bancario Coyote attraverso file di collegamento di Windows (LNK) contenenti comandi PowerShell. Il malware è noto per le sue capacità di keylogging, cattura di schermate e sovrapposizioni di phishing per rubare credenziali sensibili.

Dettagli sulle Attività del Malware

Le sue attività sono state dettagliate da Fortinet FortiGuard Labs, che ha rilevato diversi file LNK negli ultimi mesi. Coyote è stato inizialmente documentato da Kaspersky nel 2024, quando è emerso come minaccia per gli utenti sudamericani, in grado di carpire informazioni sensibili da oltre 70 applicazioni finanziarie. Nella catena di attacco precedente, un eseguibile Squirrel avviava un'applicazione Node.js compilata con Electron, che a sua volta eseguiva un loader basato su Nim per attivare il payload malevolo di Coyote.

Sequenza di Infezione

L'ultima sequenza di infezione inizia con un file LNK che esegue un comando PowerShell per recuperare il payload successivo da un server remoto. Questo script PowerShell avvia un loader che esegue un payload intermedio, utilizzando Donut per decrittare ed eseguire il payload finale in Microsoft Intermediate Language (MSIL). Questo file MSIL decrittografato stabilisce la persistenza modificando il registro di sistema per eseguire un comando PowerShell personalizzato che scarica ed esegue un URL codificato in Base64, facilitando le principali funzioni del trojan bancario Coyote.

Azioni del Malware

Una volta lanciato, il malware raccoglie informazioni di sistema di base e l'elenco dei prodotti antivirus installati sul dispositivo, codificandoli in Base64 e inviandoli a un server remoto. Inoltre, esegue vari controlli per evitare il rilevamento da parte di sandbox e ambienti virtuali. Un cambiamento significativo nell'ultima iterazione di Coyote è l'espansione del suo elenco di target, che ora comprende oltre 1.000 siti e 73 agenti finanziari, tra cui mercadobitcoin.com.br, bitcointrade.com.br e foxbit.com.br. Se la vittima tenta di accedere a uno dei siti nell'elenco, il malware contatta un server controllato dagli aggressori per determinare la prossima azione, che può variare dalla cattura di uno screenshot alla visualizzazione di sovrapposizioni.

Implicazioni di Sicurezza

Il processo di infezione di Coyote è complesso e a più fasi, rappresentando una minaccia significativa per la sicurezza finanziaria, soprattutto per il potenziale di espandersi oltre i suoi obiettivi iniziali.