Usuários brasileiros do Windows estão na mira de uma campanha maliciosa que distribui o trojan bancário Coyote, uma ameaça crescente que agora visa mais de 1.000 sites e dezenas de instituições financeiras. O malware, identificado por pesquisadores do Fortinet FortiGuard Labs, é capaz de capturar credenciais bancárias por meio de keylogging, captura de tela e sobreposição de páginas falsas para enganar os usuários. O Coyote foi originalmente documentado pela Kaspersky no início de 2024, quando suas atividades foram registradas em ataques contra usuários na América do Sul.

O malware se destaca por sua capacidade de extrair informações sensíveis de mais de 70 aplicativos financeiros. Na versão inicial do ataque, o trojan era distribuído por meio de um instalador Squirrel, que acionava uma aplicação Node.js compilada com Electron. Essa aplicação então utilizava um loader baseado em Nim para executar a carga maliciosa do Coyote. Na versão mais recente do ataque, os cibercriminosos passaram a utilizar arquivos de atalho do Windows (LNK) para iniciar comandos PowerShell que fazem o download de um script remoto. Esse script, por sua vez, baixa outro carregador intermediário, que injeta código malicioso e executa a carga final do malware. Segundo os pesquisadores, essa abordagem complexa e em múltiplos estágios dificulta a detecção por sistemas de segurança tradicionais.

Uma característica notável do Coyote é seu uso da ferramenta Donut para descriptografar e executar cargas MSIL (Microsoft Intermediate Language). Uma vez ativo, o malware modifica o registro do Windows para garantir persistência, criando uma entrada que baixa continuamente novos componentes maliciosos. Além disso, ele coleta informações do sistema, incluindo a lista de softwares antivírus instalados, e envia esses dados para um servidor remoto controlado pelos atacantes. A nova variante do Coyote apresenta uma expansão significativa de sua lista de alvos, que agora inclui 1.030 sites e 73 instituições financeiras, entre elas mercadobitcoin.com.br, bitcointrade.com.br e foxbit.com.br. Além do setor financeiro, o malware também foca sites de hotéis brasileiros, sugerindo um potencial aumento de sua atuação para outros segmentos econômicos.