
Pengguna Windows Brasil adalah target kampanye yang memberikan malware perbankan yang dikenal sebagai Anjing hutan.
“Setelah dikerahkan, Coyote Banking Trojan dapat melakukan berbagai kegiatan jahat, termasuk keylogging, menangkap tangkapan layar, dan menampilkan overlay phishing untuk mencuri kredensial sensitif,” kata peneliti Fortinet Fortiguard Labs Cara Lin dalam analisis yang diterbitkan minggu lalu.
Perusahaan cybersecurity mengatakan telah ditemukan selama sebulan terakhir beberapa artefak file shortcut windows (LNK) yang berisi perintah PowerShell yang bertanggung jawab untuk mengirimkan malware.

Coyote pertama kali didokumentasikan oleh Kaspersky pada awal 2024, merinci serangannya yang menargetkan pengguna di negara Amerika Selatan. Ini mampu memanen informasi sensitif dari lebih dari 70 aplikasi keuangan.
Dalam rantai serangan sebelumnya yang didokumentasikan oleh perusahaan cybersecurity Rusia, seorang penginstal tupai yang dapat dieksekusi digunakan untuk memicu aplikasi node.js yang dikompilasi dengan elektron, yang, untuk bagiannya, menjalankan loader berbasis NIM untuk memicu pelaksanaan payload coyote jahat yang berbahaya .
Urutan infeksi terbaru, di sisi lain, dimulai dengan file LNK yang mengeksekusi perintah PowerShell untuk mengambil tahap berikutnya dari server jarak jauh (“tbet.geontrigame[.]com “), skrip PowerShell lain yang meluncurkan loader yang bertanggung jawab untuk melaksanakan muatan sementara.

“Kode yang disuntikkan memanfaatkan donat, alat yang dirancang untuk mendekripsi dan menjalankan muatan MSIL (Microsoft Intermediate Language) akhir,” kata Lin. “File Eksekusi MSIL yang didekripsi terlebih dahulu membuat kegigihan dengan memodifikasi registri di 'hcku \ software \ microsoft \ windows \ currentVersion \ run.'”
“Jika ditemukan, ia menghapus entri yang ada dan membuat yang baru dengan nama yang dihasilkan secara acak. Entri registri baru ini berisi perintah PowerShell yang disesuaikan yang menunjuk untuk mengunduh dan menjalankan URL yang dikodekan oleh Base . “
Malware, setelah diluncurkan, mengumpulkan informasi sistem dasar dan daftar produk antivirus yang diinstal pada host, setelah itu data di-encoded base64 dan dieksfiltrasi ke server jarak jauh. Ini juga melakukan berbagai cek untuk menghindari deteksi dengan kotak pasir dan lingkungan virtual.

Perubahan penting dalam iterasi coyote terbaru adalah perluasan daftar targetnya untuk mencakup 1.030 situs dan 73 agen keuangan, seperti mercadobitcoin.com.br, bitcointrade.com.br, foxbit.com.br, augustoshotel.com.br , blumenhotelboutique.com.br, dan fallshotel.com.br.
Jika korban berusaha mengakses salah satu situs dalam daftar, malware menghubungi server yang dikendalikan penyerang untuk menentukan tindakan berikutnya, yang dapat berkisar dari menangkap tangkapan layar hingga melayani overlay. Beberapa fungsi lain termasuk menampilkan pengaktifan keylogger dan memanipulasi pengaturan tampilan.
“Proses infeksi Coyote kompleks dan multi-pangkalan,” kata Lin. “Serangan ini memanfaatkan file LNK untuk akses awal, yang kemudian mengarah pada penemuan file jahat lainnya. Trojan ini merupakan ancaman signifikan terhadap keamanan siber keuangan, terutama karena memiliki potensi untuk memperluas di luar target awalnya.”