13.11.2025 19:24
🇧🇷 Maverick и Coyote: Бразильский дуэт банковских троянов Исследователи из CyberProof обнаружили интересную связь между двумя семействами вредоносного…
🇧🇷 Maverick и Coyote: Бразильский дуэт банковских троянов
Исследователи из CyberProof обнаружили интересную связь между двумя семействами вредоносного ПО, атакующими финансовый сектор. Оказывается, эти трояны не просто «коллеги по цеху», а используют общую инфраструктуру доставки.
Загрузчик, ранее ассоциированный исключительно с трояном Coyote, начал доставлять полезную нагрузку другого банкера - Maverick. Это указывает на то, что бразильские киберпреступники переходят к модели Malware-as-a-Service или же за обоими зловредами стоит одна и та же группа разработчиков.
Ключевые технические детали:
🔹 Вектор атаки: Кампания начинается с фишинга, часто нацеленного на корпоративных пользователей через WhatsApp Web. Жертве присылают архив с LNK-файлом.
🔹 Цепочка заражения: LNK запускает PowerShell-скрипт ➡️ загрузка пейлоада ➡️ использование инструмента Donut для расшифровки и запуска шеллкода в памяти.э
🔹 Маскировка: Coyote известен использованием легитимного инсталлятора Squirrel для скрытной установки, что затрудняет детекцию антивирусами.
🔹 Функционал: Оба трояна написаны на .NET (ранее Coyote использовал Nim) и специализируются на перехвате управления: кейлоггинг, оверлеи (подмена окон банковских приложений) и удаленный доступ (VNC).
Бразилия остается одной из главных «песочниц» для обкатки банковских троянов. Слияние инфраструктур Maverick и Coyote говорит об эволюции угроз: злоумышленники унифицируют инструменты доставки (Loaders), делая атаки более масштабируемыми и сложными для атрибуции.
🔗 Детальный разбор атаки и IoC https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans
👉@thehaking
Исследователи из CyberProof обнаружили интересную связь между двумя семействами вредоносного ПО, атакующими финансовый сектор. Оказывается, эти трояны не просто «коллеги по цеху», а используют общую инфраструктуру доставки.
Загрузчик, ранее ассоциированный исключительно с трояном Coyote, начал доставлять полезную нагрузку другого банкера - Maverick. Это указывает на то, что бразильские киберпреступники переходят к модели Malware-as-a-Service или же за обоими зловредами стоит одна и та же группа разработчиков.
Ключевые технические детали:
🔹 Вектор атаки: Кампания начинается с фишинга, часто нацеленного на корпоративных пользователей через WhatsApp Web. Жертве присылают архив с LNK-файлом.
🔹 Цепочка заражения: LNK запускает PowerShell-скрипт ➡️ загрузка пейлоада ➡️ использование инструмента Donut для расшифровки и запуска шеллкода в памяти.э
🔹 Маскировка: Coyote известен использованием легитимного инсталлятора Squirrel для скрытной установки, что затрудняет детекцию антивирусами.
🔹 Функционал: Оба трояна написаны на .NET (ранее Coyote использовал Nim) и специализируются на перехвате управления: кейлоггинг, оверлеи (подмена окон банковских приложений) и удаленный доступ (VNC).
Бразилия остается одной из главных «песочниц» для обкатки банковских троянов. Слияние инфраструктур Maverick и Coyote говорит об эволюции угроз: злоумышленники унифицируют инструменты доставки (Loaders), делая атаки более масштабируемыми и сложными для атрибуции.
🔗 Детальный разбор атаки и IoC https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans
👉@thehaking