Variant de programari maliciós Coyote
El troià bancari de Windows conegut com a Coyote ha emergit com la primera soca de programari maliciós observada que abusa del marc d'accessibilitat de Windows, UI Automation (UIA), per robar dades sensibles dels usuaris. Inicialment descobert per investigadors de ciberseguretat el 2024, Coyote es dirigeix principalment a usuaris brasilers i ha evolucionat per integrar una nova tècnica que aprofita UIA per recopilar credencials vinculades a una àmplia gamma de plataformes bancàries i de criptomonedes.
Taula de continguts
Eines legítimes convertides en malicioses
UIA forma part del Microsoft .NET Framework i originalment es va dissenyar per ajudar les tecnologies d'assistència, com ara els lectors de pantalla, a interactuar amb els elements de la interfície d'usuari de les aplicacions d'escriptori. Tanmateix, les seves capacitats han demostrat ser una arma de doble tall. El desembre de 2024, experts en seguretat van presentar una prova de concepte que demostrava que UIA podria ser explotada per al robatori de dades i l'execució de codi no autoritzada.
Ara, Coyote ha posat la teoria en pràctica. De manera similar als troians bancaris d'Android que fan un mal ús dels serveis d'accessibilitat per capturar informació sensible, Coyote manipula l'UIA per navegar pels elements de l'aplicació i extreure credencials valuoses.
Com el coiot busca dades
El troià comença el seu procés de recol·lecció de dades utilitzant l'API de Windows GetForegroundWindow() per determinar quina finestra està activa actualment. A continuació, compara el títol d'aquesta finestra amb una llista codificada que conté les adreces web de 75 bancs i borses de criptomoneda objectiu, un nombre que ha augmentat des dels 73 objectius a principis del 2025.
Si el títol de la finestra no coincideix amb cap entrada de la llista, Coyote canvia de tàctica. Utilitza UIA per analitzar els elements fills de la interfície de la finestra activa, intentant localitzar pestanyes del navegador o barres d'adreces. El contingut d'aquests elements de la interfície d'usuari es torna a comprovar amb la mateixa llista de destinació.
Capacitats en expansió i funcions furtives
El Coyote està equipat amb funcions de vigilància addicionals, com ara:
- Registre de pulsacions de tecles per interceptar credencials escrites
- Captura de pantalla per registrar visualment l'activitat de l'usuari
- Atacs de superposició que imiten pàgines d'inici de sessió bancàries legítimes
A més, el programari maliciós funciona eficaçment tant en mode en línia com fora de línia, garantint que els seus mecanismes de recol·lecció de credencials romanguin operatius independentment de la connectivitat. Aquesta flexibilitat millora la seva persistència i amplia la seva superfície d'atac.
Per què UIA és un punt de canvi per als desenvolupadors de programari maliciós
Normalment, accedir a subelements dins d'una altra aplicació és complex i requereix una comprensió profunda de com està estructurat el programari de destinació. En explotar la interfície d'usuari (UIA), Coyote evita aquesta barrera, obtenint una visibilitat profunda dels components interns de la interfície d'usuari de les aplicacions amb un esforç mínim. Aquesta capacitat augmenta significativament la taxa d'èxit del robatori de credencials.
L’amenaça creixent a les dades financeres
L'adopció de l'automatització de la interfície d'usuari per part de programari maliciós com Coyote marca una evolució preocupant en la manera com s'estan utilitzant com a armes les funcions legítimes del sistema. Amb 75 institucions financeres ja al seu punt de mira i una metodologia d'atac en constant avançament, Coyote destaca la necessitat urgent de millorar els mecanismes de monitorització i defensa contra l'abús del marc d'accessibilitat.
