Un gran número de entidades bancarias (61), todas ellas con sede en Brasil, son el blanco de un reciente troyano bancario conocido como «Coyote».

Kaspersky señala que:

Este malware utiliza el instalador «Squirrel» para su distribución, aprovechando «Node.js» y un lenguaje de programación multiplataforma relativamente nuevo llamado «Nim» como cargador para llevar a cabo su infección.

Lo que distingue al troyano «Coyote», es su uso del marco de código abierto Squirrel para instalar y actualizar aplicaciones de Windows. Además, se destaca el cambio desde Delphi, que es común en las familias de malware bancario dirigidas a América Latina, hacia un lenguaje de programación poco común como Nim.

En la cadena de ataque se utiliza un ejecutable del instalador de Squirrel como plataforma de lanzamiento para una aplicación Node.js compilada con Electron, que a su vez ejecuta un cargador basado en Nim para iniciar la ejecución de la carga útil maliciosa de Coyote mediante la carga lateral de DLL.

La biblioteca de enlaces dinámicos maliciosos, llamada «libcef.dll», se carga localmente a través de un ejecutable legítimo llamado «obs-browser-page.exe», que también está incluido en el proyecto Node.js. Es importante destacar que el «libcef.dll» original forma parte del Chromium Embedded Framework (CEF).

Una vez que el malware está en funcionamiento, monitorea todas las aplicaciones abiertas en el sistema de la víctima y espera a que se acceda a la aplicación bancaria o al sitio web específico. Luego se comunica con un servidor controlado por los atacantes para obtener instrucciones sobre la siguiente etapa.

Este troyano tiene la capacidad de realizar capturas de pantalla, registrar pulsaciones de teclas, finalizar procesos, aplicar la técnica de superposición, realizar movimiento del cursor del mouse a ubicaciones específicas e incluso apagar la máquina. Además, puede bloquear directamente la máquina con un mensaje falso de «Working on updates» o «Trabajando en actualizaciones» mientras lleva a cabo acciones maliciosas en segundo plano.

Estos desarrollos se producen en un contexto en el que las autoridades policiales brasileñas han desmantelado la operación Grandoreiro. Además, se ha descubierto un nuevo ladrón de información basado en Python relacionado con arquitectos vietnamitas asociados con MrTonyScam.

Fuente:

New Coyote Trojan Targets 61 Brazilian Banks with Nim-Powered Attack