🇧🇷 Maverick и Coyote: Бразильский дуэт банковских троянов Исследователи из CyberProof обнаружили интересную связь между двумя семействами вредоносного ПО, атакующими финансовый сектор. Оказывается, эти трояны не просто «коллеги по цеху», а используют общую инфраструктуру доставки. Загрузчик, ранее ассоциированный исключительно с трояном Coyote, начал доставлять полезную нагрузку другого банкера - Maverick. Это указывает на то, что бразильские киберпреступники переходят к модели Malware-as-a-Service или же за обоими зловредами стоит одна и та же группа разработчиков. Ключевые технические детали: 🔹 Вектор атаки: Кампания начинается с фишинга, часто нацеленного на корпоративных пользователей через WhatsApp Web. Жертве присылают архив с LNK-файлом. 🔹 Цепочка заражения: LNK запускает PowerShell-скрипт ➡️ загрузка пейлоада ➡️ использование инструмента Donut для расшифровки и запуска шеллкода в памяти.э 🔹 Маскировка: Coyote известен использованием легитимного инсталлятора Squirrel для скрытной установки, что затрудняет детекцию антивирусами. 🔹 Функционал: Оба трояна написаны на .NET (ранее Coyote использовал Nim) и специализируются на перехвате управления: кейлоггинг, оверлеи (подмена окон банковских приложений) и удаленный доступ (VNC). Бразилия остается одной из главных «песочниц» для обкатки банковских троянов. Слияние инфраструктур Maverick и Coyote говорит об эволюции угроз: злоумышленники унифицируют инструменты доставки (Loaders), делая атаки более масштабируемыми и сложными для атрибуции. 🔗 Детальный разбор атаки и IoC https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans 👉@thehaking