‘Coyote’ ha llegado a más de 60 instituciones bancarias

El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha descubierto un nuevo troyano bancario al que ha denominado ‘Coyote’, que roba información financiera confidencial e introduce tácticas avanzadas para evitar su detección. Coyote se distribuye mediante el instalador Squirrel, un método que no suele vincularse al malware.

Tras investigar e identificar todo el proceso de infección de este troyano, los expertos que lo han descubierto explican que está dirigido principalmente a usuarios de más de 60 instituciones bancarias en Brasil. Además, en lugar de utilizar instaladores conocidos, Coyote utiliza una herramienta relativamente nueva, Squirrel, que sirve para instalar y actualizar las aplicaciones de escritorio de Windows. De esta manera, oculta su cargador de fase inicial, fingiendo que es sólo un empaquetador de actualizaciones.

Otro aspecto que hace que Coyote suponga un reto es que utiliza Nim, un lenguaje de programación moderno y multiplataforma, como cargador para la etapa final del proceso de infección, y está en línea con una tendencia observada por los investigadores en la que los ciberdelincuentes utilizan lenguajes menos populares y multiplataforma, demostrando su adaptabilidad a las últimas tendencias tecnológicas.

Malware avanzado que se camufla

El malware cuenta con NodeJS, que crea un código JavaScript engañoso, un cargador Nim, que desempaqueta un ejecutable .NET y, finalmente, la ejecución del troyano. Coyote utiliza la ofuscación de cadenas con cifrado AES (Advanced Encryption Standard) para pasar desapercibido. El objetivo del troyano está en línea con el comportamiento habitual de otros malwares bancarios, es decir, vigila que se acceda a la aplicación o página web bancaria específica.

Una vez que las aplicaciones bancarias están activas, el troyano se comunica con su servidor de mando y control mediante canales SSL con autenticación mutua. El uso que hace de la comunicación cifrada y su capacidad para llevar a cabo acciones concretas, como el registro de pulsaciones de teclado y la realización de capturas de pantalla, ponen de manifiesto su naturaleza avanzada. Asimismo, puede pedir claves de tarjetas bancarias y configurar una página falsa para hacerse con las credenciales de usuario.

Los datos muestran que aproximadamente el 90% de las infecciones de Coyote proceden de Brasil. “En los últimos tres años, el número de ataques de troyanos bancarios casi se duplicó, llegando a más de 18 millones en 2023. Esto demuestra que los retos de la seguridad online continúan creciendo a medida que nos enfrentamos a un mayor número de ciberamenazas. Es realmente importante que las personas y las empresas protejan sus activos digitales. Coyote nos recuerda que debemos ser cuidadosos y utilizar todas las defensas para mantener segura nuestra información”, comenta Fabio Assolini, jefe del Equipo Global de Investigación y Análisis (GReAT) para América Latina de Kaspersky.

Para protegerse contra las amenazas financieras, los expertos recomiendan:

•             Instalar sólo aplicaciones obtenidas de fuentes fiables.

•             Comprobar los derechos o permisos de las aplicaciones antes de aprobarlos.

•             No abrir nunca enlaces o documentos incluidos en mensajes inesperados o sospechosos.

•             Utilizar una solución de seguridad fiable que proteja la infraestructura digital de una amplia gama de ciberamenazas financieras.

•             Impartir formación de concienciación sobre ciberseguridad que incluya instrucciones sobre cómo detectar páginas de phishing, especialmente a los empleados responsables de la contabilidad.

•             Mejorar los conocimientos digitales del equipo.

•             Activar una política para los perfiles de usuarios críticos que garantice que sólo se puede acceder a recursos web legítimos, sobre todo en los departamentos financieros.

•             Instalar las últimas actualizaciones y parches para todo el software utilizado.