# Coyote Banking Trojan > [!high] Trojan Bancário Brasileiro com Técnicas Avançadas de Evasão > Coyote é um trojan bancário sofisticado descoberto em setembro de 2022 que visa exclusivamente o mercado financeiro brasileiro, com 90% das infecções no Brasil. Usa uma cadeia de infecção de quatro estágios com Squirrel installer, Node.js, loader Nim e payload .NET - tecnologias modernas incomuns em malware bancário LATAM. ## Visão Geral O Coyote Banking Trojan representa uma evolução significativa no cenário de malware bancário brasileiro. Diferentemente dos trojans bancários tradicionais da América Latina - que historicamente usam Delphi ou MSI installers - o Coyote adota um conjunto de tecnologias modernas: Node.js/Electron, a linguagem de programação Nim e payloads .NET, criando uma cadeia de infecção de quatro estágios que dificulta análise e evasão por antivírus. A principal inovação do Coyote é o abuso do **Squirrel installer**, um framework legítimo para instalação e atualização de aplicações Windows desktop, que mascara o loader malicioso dentro de pacotes NuGet aparentemente benignos. Após estabelecer acesso, o payload final em .NET executa em memória, sem tocar o disco, para evadir soluções de antivírus baseadas em assinatura. O Coyote foca exclusivamente em instituições financeiras brasileiras: dados de telemetria da Kaspersky mostram que **90% das infecções originam-se do Brasil** e todas as 61 instituições alvo identificadas são brasileiras. O sistema de comunicação C2 usa SSL com autenticação mútua e criptografia AES, sendo ativado apenas quando o usuário abre um aplicativo bancário monitorado. > [!latam] Relevância para o Brasil > O Coyote é talvez a ameaça mais diretamente relevante ao [[financial|setor financeiro brasileiro]]: 90% das vítimas são brasileiras e todas as 61 instituições monitoradas pelo malware são nacionais. O uso de phishing com currículos falsos como vetor de entrada é altamente plausível no mercado de trabalho brasileiro, e a capacidade de apresentar telas falsas sobre apps de grandes bancos como Itaú, Bradesco, Santander e Nubank cria risco de perdas financeiras diretas. Empresas de [[technology|tecnologia]], fintech e hospitalidade no Brasil devem priorizar treinamento de colaboradores sobre phishing e implementar EDR com capacidades comportamentais em endpoints Windows. ## Descrição O Coyote Banking Trojan foi identificado pela primeira vez em setembro de 2022 e representa uma evolução significativa no cenário de malware bancário brasileiro. Diferentemente dos trojans bancários tradicionais da América Latina - que historicamente usam Delphi ou MSI installers - o Coyote adota um conjunto de tecnologias modernas: Node.js/Electron, a linguagem de programação Nim e payloads .NET, criando uma cadeia de infecção de quatro estágios que dificulta a análise e evasão por antivírus. A principal inovação do Coyote é o abuso do **Squirrel installer**, um framework legítimo para instalação e atualização de aplicações Windows desktop, que mascara o loader malicioso dentro de pacotes NuGet aparentemente benignos. Essa técnica de "living off the land" dificulta a detecção baseada em reputação de arquivos, pois os binários iniciais são assinados e associados a software legítimo. Após estabelecer acesso, o payload final em .NET executa em memória, sem tocar o disco, para evadir soluções de antivírus baseadas em assinatura. O Coyote foca exclusivamente em instituições financeiras brasileiras: dados de telemetria da Kaspersky mostram que **90% das infecções originam-se do Brasil** e todas as 61 instituições alvo identificadas são brasileiras. O malware também monitora sites de hotéis e pousadas, sugerindo interesse em captura de dados de cartão de crédito no setor de hospitalidade - ponto de intersecção com a campanha [[revengehotels-campaign]]. O sistema de comunicação C2 usa **SSL com autenticação mútua** e **criptografia AES**, sendo ativado apenas quando o usuário abre um aplicativo bancário monitorado. Para o [[financial|setor financeiro]] brasileiro, o Coyote representa o estado da arte do malware bancário doméstico. Sua adoção de tecnologias modernas indica que os desenvolvedores estão ativamente atualizando o arsenal para contornar defesas específicas ao mercado brasileiro. A monitoração de sites de hospitalidade além dos bancários amplia a superfície de impacto para o [[technology|setor de tecnologia]] e turismo. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexos disfarçados de currículos | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução de estágios intermediários | | Execution | [[t1059-007-javascript\|T1059.007]] | JavaScript via Node.js/Electron como estágio 2 | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | DLL side-loading via loader Nim no estágio 3 | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Ofuscação Base64 e AES em múltiplos estágios | | Defense Evasion | [[t1055-process-injection\|T1055]] | Payload .NET executado em memória sem tocar disco | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela da área de trabalho | | Collection | [[t1417-002-gui-input-capture\|T1417.002]] | Sobreposição de tela falsa sobre apps bancários | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Comúnicação AES sobre SSL com autenticação mútua | ## Grupos que Usam O Coyote não tem atribuição pública a um grupo nomeado. As características técnicas sugerem desenvolvedores brasileiros com conhecimento avançado de tecnologias modernas: - Operadores com foco exclusivo no [[financial|mercado financeiro brasileiro]] - Possível sobreposição com atores da campanha [[revengehotels-campaign]] pelo interesse em hospitalidade ## Detecção - Alertar para processos `Squirrel.exe` ou `Update.exe` (do ecossistema Squirrel) executando payloads de locais não padrão como `%APPDATA%` ou `%LOCALAPPDATA%` - indicativo de abuso do instalador legítimo - Monitorar via regras **YARA** por presença de bytecode Nim (assinatura distinta) em arquivos DLL não assinados - o loader Nim do Coyote tem padrões detectáveis em análise estática - Detectar conexões SSL com **autenticação mútua de certificado** iniciadas por processos .NET rodando em memória sem arquivo em disco - padrão comportamental anômalo para aplicativos de usuário - Implementar **EDR** com detecção de injeção em memória e análise de comportamento de processos Node.js/Electron para identificar desvios do comportamento esperado de aplicações legítimas - Monitorar acesso a arquivos de configuração de apps bancários brasileiros por processos não relacionados ao banco - o Coyote lê dados de sessão bancária para ativação do módulo de overlay ## Relevância LATAM/Brasil O Coyote é talvez a ameaça mais diretamente relevante ao [[financial|setor financeiro brasileiro]] dentre os trojans bancários ativos: 90% das vítimas são brasileiras e todas as 61 instituições monitoradas pelo malware são nacionais. O uso de phishing com currículos falsos - altamente plausível em um mercado de trabalho competitivo - como vetor de entrada, e a capacidade de apresentar telas falsas convincentes sobre apps de grandes bancos brasileiros como Itaú, Bradesco, Santander e Nubank criam risco de perdas financeiras diretas e em larga escala. Empresas de [[technology|tecnologia]], [[financeiro|fintech]] e hospitalidade no Brasil devem priorizar treinamento de colaboradores sobre phishing e implementar EDR com capacidades de detecção comportamental em endpoints Windows. ## Referências - [1](https://securelist.com/coyote-multi-stage-banking-trojan/111846/) Kaspersky Securelist - Coyote: Multi-Stage Banking Trojan (2024) - [2](https://www.sidechannel.blog/en/coyote-a-stealthy-banking-trojan-targeting-dozens-of-brazilian-financial-institutions/) SideChannel - Coyote Banking Trojan Analysis (2024) - [3](https://thehackernews.com/2024/02/new-coyote-trojan-targets-61-brazilian.html) The Hacker News - Coyote Targets 61 Brazilian Banks (2024) - [4](https://www.seqrite.com/blog/exposing-coyote-the-next-gen-banking-trojan-revolutionizing-cyber-threats-in-brazil/) Seqrite - Exposing Coyote Next-Gen Banking Trojan (2024) - [5](https://www.kaspersky.com/about/press-releases/coyote-ugly-kaspersky-unveils-banking-trojan-targeting-over-60-institutions) Kaspersky Press Release - Coyote Banking Trojan (2024)