Segundo relatório publicado pela empresa de cibersegurança Kaspersky, um novo malware focado no roubo de dados de acesso bancário está em atividade. Apelidado de Coyote, a nova ameaça usa métodos sofisticados para burlar esquemas de segurança e fez grande parte das suas vítimas em solo brasileiro.

Apesar da sofisticação da ferramenta, o Coyote usa uma forma de infecção amplamente conhecida: trojan – o cavalo de Tróia. O malware acompanha uma aplicação “normal” e pode se infiltrar durante o processo de atualização da aplicação.

Ao ser ativado de forma inocente pelo usuário, esse updater camufla um pacote malicioso dentro do sistema alvo em meio a bibliotecas legítimas.

A partir de então, o Coyote começa a monitorar as atividades da vítima esperando o momento exato de atacar. Através de canais SSL, então, se comunica com o servidor dos criminosos a partir de mensagens criptografadas, compartilhando os dados coletados dos sites de banco – incluindo capturas de tela.

A sofisticação da nova ameaça se dá pela forma de infecção. Ao invés de usar instaladores MSI, como acontece normalmente em malwares, o Coyote opta por uma forma relativamente nova de instalar e atualizar aplicações no Windows: o Squirrel (“esquilo”).

E daí que surge o apelido, já que os Coiotes costumam ser predadores de esquilos na natureza.

Com isso, a ameaça consegue passar por fora dos radares de sistemas desatualizados, e começa a buscar por detalhes de logins, senhas e chaves de acesso das instituições bancárias usadas pelo usuário.

No Brasil

O Coyote visa especificamente usuários de mais de 60 instituições bancárias, sendo a maioria do Brasil. Ainda segundo os dados coletados pelo Kasperksy, 90% das infecções do novo malware aconteceram em solo brasileiro e os produtos da empresa detectaram a ameaça como “HEUR:Trojan-Banker.MSIL.Coyote.gen”.

Até o momento não há maiores informações sobre quem desenvolveu a ferramenta ou quantas pessoas já foram vítimas.