AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nuevo troyano bancario “Coyote” evade detección y compromete miles de cuentas en Italia y España

admin

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de la aparición de un nuevo y sofisticado troyano bancario, apodado “Coyote”, que se ha extendido rápidamente por Italia y España, afectando a miles de usuarios y poniendo en jaque la seguridad financiera de entidades y particulares. Su capacidad para evadir las soluciones antimalware tradicionales, junto con técnicas avanzadas de robo de credenciales y manipulación de transacciones, lo convierten en una amenaza prioritaria para los equipos de respuesta ante incidentes (CSIRT), analistas SOC, CISOs y profesionales del sector bancario.

Contexto del Incidente

El troyano Coyote fue identificado por primera vez a finales de mayo de 2024 por investigadores de Threat Intelligence en colaboración con CERT-Italia y el Instituto Nacional de Ciberseguridad de España (INCIBE). Las primeras infecciones se detectaron en clientes de banca online de dos de los principales bancos italianos. Apenas unas semanas después, se observaron campañas activas dirigidas a usuarios en España, en concreto hacia entidades bancarias con gran cuota de mercado en banca digital.

Las campañas de distribución se han focalizado en correos electrónicos de phishing altamente personalizados, suplantando a los departamentos de atención al cliente de los bancos afectados, así como mediante la explotación de sitios web comprometidos empleando kits de explotación actualizados.

Detalles Técnicos

Coyote presenta características avanzadas de evasión y persistencia. Está desarrollado principalmente en C++ y utiliza técnicas de packers personalizados y polimorfismo para dificultar su análisis estático y dinámico. Según el informe técnico, el troyano aún no cuenta con un CVE asignado, pero emplea como vector inicial la explotación de macros maliciosas en documentos de Office y, en menor medida, la descarga de payloads mediante drive-by downloads aprovechando vulnerabilidades sin parchear en navegadores web (CVE-2023-4863 en Chrome, por ejemplo).

Una vez ejecutado, Coyote utiliza técnicas TTP alineadas con MITRE ATT&CK como “Spearphishing Attachment” (T1566.001), “Credential Dumping” (T1003), “Process Injection” (T1055) y “Web Service” (T1102) para exfiltrar información y comunicarse con sus C2 a través de canales cifrados TLS. El malware monitoriza en tiempo real las actividades del navegador, interceptando credenciales bancarias y tokens de autenticación. Además, implementa capacidades de ATS (Automated Transfer System) permitiendo la manipulación de transferencias en sesiones legítimas sin levantar alertas a los sistemas antifraude convencionales.

Los principales Indicadores de Compromiso (IoC) observados incluyen direcciones IP de C2 en Europa del Este, hashes SHA256 específicos de las muestras analizadas y patrones de tráfico HTTPS anómalos hacia dominios recién registrados.

Impacto y Riesgos

Hasta la fecha, se estima que Coyote ha comprometido más de 8.500 dispositivos en Italia y cerca de 3.200 en España, según datos cruzados de telemetría EDR y reportes de fraude bancario. Se calcula que el volumen total de fondos sustraídos supera los 4,5 millones de euros, aunque la cifra podría ser mayor debido a la sofisticación de las técnicas de ocultación de transferencias.

El impacto para las entidades financieras es doble: por un lado, el daño económico directo y la potencial responsabilidad frente a clientes bajo el marco del GDPR y la directiva NIS2; por otro, el riesgo reputacional y la necesidad de reforzar los controles de autenticación y monitorización para identificar transacciones fraudulentas en tiempo real.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan la actualización inmediata de sistemas operativos, navegadores y suites ofimáticas, así como la revisión de políticas de macros. Se aconseja implementar soluciones EDR con capacidades de sandboxing y análisis de comportamiento para detectar cargas polimórficas.

En el ámbito bancario, es esencial fortalecer los mecanismos de autenticación multifactor (MFA) y analizar patrones de transacciones con sistemas de machine learning para identificar desviaciones anómalas. Asimismo, se recomienda desplegar campañas de concienciación sobre phishing dirigidas a empleados y clientes.

Para los equipos SOC, se recomienda agregar los IoC identificados a sus plataformas SIEM, monitorizar conexiones salientes a dominios sospechosos y establecer reglas de correlación para detectar actividades de ATS.

Opinión de Expertos

Según Carlos Díaz, analista sénior de amenazas en S21sec, “Coyote representa una evolución significativa respecto a los troyanos bancarios tradicionales, ya que combina técnicas de evasión heredadas de APTs con una orientación clara al fraude financiero automatizado”. Por su parte, Gemma Ruiz, CISO de una entidad financiera española, advierte: “El uso de canales cifrados y el ATS dificultan la detección temprana, por lo que es fundamental invertir en inteligencia de amenazas y colaboración sectorial”.

Implicaciones para Empresas y Usuarios

La aparición de Coyote evidencia la creciente profesionalización del cibercrimen financiero en Europa y la necesidad de adoptar un enfoque Zero Trust en el acceso a sistemas críticos. Para las empresas, implica revisar sus planes de respuesta ante incidentes y reforzar la formación de usuarios finales, especialmente en lo relativo a ingeniería social y phishing avanzado.

Los usuarios, por su parte, deben extremar la precaución ante correos de origen dudoso, emplear contraseñas robustas y activar siempre la autenticación multifactor en sus servicios bancarios.

Conclusiones

Coyote marca un hito en la evolución del malware bancario, combinando sofisticación técnica, gran capacidad de evasión y un impacto económico significativo. La cooperación entre CERTs, entidades financieras y proveedores de seguridad será clave para contener su propagación y minimizar las pérdidas. La adopción de medidas proactivas y la inversión en ciberinteligencia se perfilan como elementos imprescindibles para anticipar y mitigar futuras variantes de esta amenaza.

(Fuente: www.darkreading.com)