Kaspersky ha dado la voz de alarma sobre 'Coyote', un nuevo troyano bancario que ha sido detectado por su equipo global de Investigación y Análisis (GReAT).
Tras investigar e identificar todo el proceso de infección de este troyano, los expertos explican sus principales características en un comunicado emitido por la compañía de ciberseguridad. Según indica la nota, Coyote roba información financiera confidencial y se está dirigiendo principalmente a usuarios de más de 60 entidades bancarias de Brasil, país del que se presupone es originario al igual que otras familias de malware como Ousaban o Grandoreiro, cuyos impulsores han sido recientemente detenidos en una operación internacional que ha contado con el apoyo de fuerzas del orden y entidades españolas.
Los datos de Kaspersky muestran que aproximadamente el 90% de las infecciones de Coyote proceden de Brasil. En lugar de utilizar instaladores conocidos, los expertos destacan que este troyano bancario utiliza una herramienta relativamente nueva llamada Squirrel, que sirve para instalar y actualizar las aplicaciones de escritorio de Windows. "De esta manera, oculta su cargador de fase inicial, fingiendo que es sólo un empaquetador de actualizaciones", advierten.
Asimismo, resaltan que otro aspecto que hace que Coyote represente un reto es que utiliza Nim, un lenguaje de programación moderno y multiplataforma, como cargador para la etapa final del proceso de infección. En este sentido, señalan que ya habían observado una tendencia en la que los ciberdelincuentes emplean lenguajes menos populares y multiplataforma, evidenciando su adaptabilidad a los últimos avances tecnológicos.
Siguiendo siempre su información, Coyote cuenta además con NodeJS, que crea un código JavaScript engañoso, mientras que el cargador Nim desempaqueta un ejecutable .NET y, finalmente, se ejecuta el troyano. Para pasar desapercibido, Coyote utiliza la ofuscación de cadenas con cifrado AES (Advanced Encryption Standard) y su objetivo está en línea con el comportamiento habitual de otros troyanos bancarios, es decir, vigilar que se acceda a la aplicación o página web bancaria determinada.
Una vez que las aplicaciones bancarias están activas, Coyote se comunica con su servidor de mando y control mediante canales SSL con autenticación mutua. El uso que hace de la comunicación cifrada y su capacidad para llevar a cabo acciones concretas, como el registro de pulsaciones de teclado y la realización de capturas de pantalla, ponen de manifiesto su naturaleza avanzada. Además, puede configura una página web falsa y solicitar claves de tarjetas bancarias para hacerse con las credenciales de los usuarios a los que se dirige.
"En los últimos tres años, el número de ataques de troyanos bancarios casi se duplicó, llegando a más de 18 millones en 2023. Esto demuestra que los retos de la seguridad online continúan creciendo a medida que nos enfrentamos a un mayor número de ciberamenazas. Es realmente importante que las personas y las empresas protejan sus activos digitales. Coyote nos recuerda que debemos ser cuidadosos y utilizar todas las defensas para mantener segura nuestra información", subraya Fabio Assolini, jefe del Equipo Global de Investigación y Análisis (GReAT) para América Latina de Kaspersky.
Medidas de protección
El comunicado de Kaspersky también ofrece las siguientes recomendaciones para protegerse de los troyanos bancarios y de otro tipo de ciberamenazas financieras:
- Instalar sólo aplicaciones obtenidas de fuentes fiables.
- Comprobar los derechos o permisos de las aplicaciones antes de aprobarlos.
- No abrir nunca enlaces o documentos incluidos en mensajes inesperados o sospechosos.
- Utilizar una solución de seguridad fiable.
Y finalmente aconseja a las empresas aplicar estas cuatro medidas para mejorar su protección ante esta clase de ciberriesgos:
- Impartir formación de concienciación sobre ciberseguridad que incluya instrucciones sobre cómo detectar páginas de phishing, especialmente a los empleados responsables de la contabilidad.
- Mejorar los conocimientos digitales del equipo.
- Activar una política para los perfiles de usuarios críticos que garantice que sólo se puede acceder a recursos web legítimos, sobre todo en los departamentos financieros.
- Instalar las últimas actualizaciones y parches para todo el software utilizado.