Alertas de Seguridad

Kaspersky revela un troyano bancario

Dirigido a más de 60 instituciones

[13/02/2024] Los expertos de Kaspersky han identificado "Coyote", un nuevo y sofisticado troyano bancario que emplea Tácticas de evasión para robar información financiera confidencial. Principalmente focalización afiliados a más de 60 instituciones bancarias en Brasil, la empresa señaló en el comunicado de prensa que Coyote utiliza el instalador de Squirrel para su distribución, un método que rara vez se vincula a la entrega de malware. Los investigadores de Kaspersky han investigado e identificado todo el proceso de infección de Coyote.

"En lugar de tomar el camino habitual con instaladores conocidos, Coyote eligió una herramienta Squirrel relativamente nueva para instalar y actualizar las aplicaciones de escritorio de Windows. Por aquí Coyote esconde su cargador de etapas inicial fingiendo que es solo una actualización Empaquetador, comento Fabio Assolini, jefe del Equipo Global de Investigación y Análisis de América Latina (GReAT) en Kaspersky.

De acuerdo al analista, lo que hace que Coyote sea aún más desafiante es su uso de Nim, un moderno lenguaje de programación multiplataforma que lo carga en la etapa final del proceso de infección. Esto se alinea con una tendencia observada por Kaspersky, en la que los ciberdelincuentes utilizar lenguajes menos populares y multiplataforma, demostrando su adaptabilidad a las últimas tendencias tecnológicas.

"El recorrido de Coyote implica una aplicación NodeJS que ejecuta un código JavaScript complicado, un cargador Nim desempaquetando un ejecutable .NET y, por último, la ejecución de un troyano. Mientras Coyote omite la ofuscación de código, utiliza la ofuscación de cadenas con AES (Advanced Encryption Standard) para mayor sigilo. El objetivo del troyano está en línea con el comportamiento típico de los troyanos bancarios: Vigila la aplicación bancaria o el sitio web específico al que se va a acceder, anotó Assolini.

Una vez las aplicaciones bancarias están activas, el ejecutivo señaló que Coyote se comunica con su servidor de comando y control usando Canales SSL con autenticación mutua. "El uso de cifrado por parte del troyano y su capacidad para llevar a cabo acciones específicas, como el registro de teclas y tomar capturas de pantalla, destacan su carácter avanzado. Incluso puede pedir contraseñas específicas de tarjetas bancarias y configurar una página falsa para adquirir credenciales de usuario.

Los datos de telemetría de Kaspersky muestran que alrededor de 90% de las infecciones de Coyote provienen de Brasil, lo que tiene un gran impacto en la ciberseguridad financiera de la región.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTO Perú. El equipo editorial de CTO Perú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Casos de éxito

Más »