Segundo relatório publicado pela empresa de cibersegurança Kaspersky, um novo malware focado no roubo de dados de acesso bancário está em atividade. Apelidado de Coyote, a nova ameaça usa métodos sofisticados para burlar esquemas de segurança e fez grande parte das suas vítimas em solo brasileiro.
Apesar da sofisticação da ferramenta, o Coyote usa uma forma de infecção amplamente conhecida: trojan – o cavalo de Tróia. O malware acompanha uma aplicação “normal” e pode se infiltrar durante o processo de atualização da aplicação.
Ao ser ativado de forma inocente pelo usuário, esse updater camufla um pacote malicioso dentro do sistema alvo em meio a bibliotecas legítimas.
A partir de então, o Coyote começa a monitorar as atividades da vítima esperando o momento exato de atacar. Através de canais SSL, então, se comunica com o servidor dos criminosos a partir de mensagens criptografadas, compartilhando os dados coletados dos sites de banco – incluindo capturas de tela.
A sofisticação da nova ameaça se dá pela forma de infecção. Ao invés de usar instaladores MSI, como acontece normalmente em malwares, o Coyote opta por uma forma relativamente nova de instalar e atualizar aplicações no Windows: o Squirrel (“esquilo”).
E daí que surge o apelido, já que os Coiotes costumam ser predadores de esquilos na natureza.
Com isso, a ameaça consegue passar por fora dos radares de sistemas desatualizados, e começa a buscar por detalhes de logins, senhas e chaves de acesso das instituições bancárias usadas pelo usuário.
No Brasil
O Coyote visa especificamente usuários de mais de 60 instituições bancárias, sendo a maioria do Brasil. Ainda segundo os dados coletados pelo Kasperksy, 90% das infecções do novo malware aconteceram em solo brasileiro e os produtos da empresa detectaram a ameaça como “HEUR:Trojan-Banker.MSIL.Coyote.gen”.
Até o momento não há maiores informações sobre quem desenvolveu a ferramenta ou quantas pessoas já foram vítimas.