AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Coyote y Maverick: Dos amenazas bancarias en .NET que ponen en jaque a la banca brasileña

admin

Introducción

En el creciente panorama de amenazas financieras que afecta a la banca latinoamericana, un reciente informe de CyberProof ha sacado a la luz similitudes técnicas entre dos familias de malware bancario: Coyote y el recién identificado Maverick. Ambos programas maliciosos, desarrollados en .NET y específicamente dirigidos a entidades y usuarios bancarios de Brasil, muestran patrones de ataque sofisticados y técnicas de propagación modernas, incrementando el riesgo para el sector financiero del país. El descubrimiento de Maverick, distribuido principalmente a través de campañas de ingeniería social por WhatsApp, subraya la evolución de los cibercriminales en cuanto a métodos de infección y persistencia.

Contexto del Incidente o Vulnerabilidad

Desde 2023, la banca brasileña ha sido objeto de ataques sostenidos mediante troyanos bancarios diseñados a medida para evadir controles y explotar la confianza digital de los usuarios. Coyote ha sido uno de los principales actores en este escenario, registrando cientos de infecciones mensuales según datos de CERT.br. La aparición de Maverick, identificada en el segundo trimestre de 2024, ha alarmado a los equipos de threat hunting debido a su rápida propagación y su mimetismo técnico con Coyote. Los investigadores de CyberProof han detectado que Maverick se está distribuyendo mediante archivos adjuntos y enlaces maliciosos en mensajes de WhatsApp, aprovechando la popularidad de la plataforma en Brasil (con una penetración superior al 96% entre usuarios de Internet, según DataReportal).

Detalles Técnicos

Ambos malware, Coyote y Maverick, están desarrollados en .NET Framework, lo que les proporciona portabilidad y facilidad de actualización. El análisis del código revela funciones idénticas de descifrado y targeting: ambos utilizan módulos para identificar URLs bancarias brasileñas y monitorizar procesos de aplicaciones financieras en tiempo real.

– CVE y vectores de ataque: Actualmente no existe un CVE específico asignado, ya que se trata de troyanos personalizados; sin embargo, su vector principal es la ingeniería social vía WhatsApp, con archivos .exe disfrazados de documentos o aplicaciones legítimas.
– Técnicas, tácticas y procedimientos (TTPs) MITRE ATT&CK:
– Initial Access (T1566.001): Phishing a través de mensajería instantánea.
– Execution (T1204.002): Ejecución del binario tras la interacción del usuario.
– Credential Access (T1056): Keylogging y captura de credenciales bancarias.
– Command and Control (T1071.001): Comunicación C2 cifrada mediante HTTP/HTTPS.
– Collection (T1119): Captura de pantalla y monitorización de sesiones bancarias.
– Indicadores de Compromiso (IoC): Hashes MD5/SHA256, dominios de C2 específicos a Brasil, patrones de tráfico saliente a puertos 443 y 8080, y persistencia mediante claves de registro Run.
– Herramientas y frameworks: Se han identificado artefactos de integración con Metasploit para pruebas de payload y, en fases avanzadas, uso de Cobalt Strike para movimientos laterales en entornos corporativos.

Impacto y Riesgos

La similitud funcional entre Coyote y Maverick incrementa el riesgo de ataques coordinados y campañas masivas contra usuarios bancarios brasileños. Según estimaciones de la Federación Brasileña de Bancos (FEBRABAN), durante el último año se han registrado pérdidas superiores a 25 millones de dólares asociadas a malware bancario. El uso de canales de mensajería instantánea como WhatsApp permite una propagación exponencial y una tasa de conversión de víctimas superior al 10%, afectando tanto a particulares como a pequeñas empresas.

Las principales amenazas incluyen robo de credenciales, fraude financiero, manipulación de sesiones bancarias y potencial acceso a redes corporativas mediante técnicas de lateral movement. Además, la monitorización continua de aplicaciones bancarias permite a los atacantes sortear medidas de autenticación multifactor comúnmente implementadas en el sector.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de estos troyanos, los equipos de seguridad deben implementar una combinación de controles técnicos y formación de usuarios:

– Fortalecimiento de políticas de correo y mensajería: Bloqueo de archivos ejecutables en canales de WhatsApp Web y correo electrónico corporativo.
– Monitorización de procesos: Uso de EDRs para identificar procesos .NET anómalos y patrones de ejecución sospechosos.
– Actualización y hardening de endpoints: Aplicación de parches de seguridad y restricción de privilegios de usuario.
– Implementación de autenticación robusta: Uso de MFA con mecanismos fuera de banda y biometría.
– Formación continua: Campañas de concienciación sobre phishing y amenazas en aplicaciones de mensajería.
– Detección y respuesta: Integración de reglas YARA y firmas IoC en SIEM/SOC para detección temprana.

Opinión de Expertos

Miguel Almeida, analista de amenazas en CyberProof, advierte: “El uso de .NET facilita la iteración rápida del malware y su ofuscación. La reutilización de componentes entre Coyote y Maverick muestra una profesionalización del cibercrimen en Brasil, donde las bandas criminales comparten recursos y técnicas”. Por su parte, Renata Souza, CISO de una entidad financiera brasileña, destaca la importancia de la colaboración entre instituciones: “La información compartida sobre IoC y TTPs es clave para anticipar y contener brotes masivos”.

Implicaciones para Empresas y Usuarios

La presencia de Maverick y Coyote obliga a las empresas del sector financiero a revisar sus estrategias de defensa y respuesta ante incidentes. El cumplimiento de normativas como la LGPD (Ley General de Protección de Datos de Brasil) y el marco europeo GDPR requiere la notificación de brechas y la protección efectiva de datos personales. Además, la inminente entrada en vigor de la directiva NIS2 en Europa marca un precedente para la gestión de riesgos en infraestructuras críticas.

Conclusiones

El hallazgo de Maverick, con su similitud técnica respecto a Coyote, evidencia la adaptación y colaboración de los actores de amenazas en el ecosistema bancario brasileño. La proliferación de troyanos en .NET y el uso de canales de mensajería instantánea exigen una respuesta integral por parte de los equipos de ciberseguridad, combinando tecnología, procesos y concienciación. La vigilancia continua y el intercambio de inteligencia serán determinantes para contener el avance de estas amenazas.

(Fuente: feeds.feedburner.com)