Variante del malware Coyote

Il trojan bancario per Windows noto come Coyote è emerso come il primo ceppo di malware osservato che sfrutta il framework di accessibilità di Windows, UI Automation (UIA), per rubare dati sensibili degli utenti. Inizialmente scoperto dai ricercatori di sicurezza informatica nel 2024, Coyote si rivolge principalmente agli utenti brasiliani e si è evoluto integrando una nuova tecnica che sfrutta UIA per raccogliere credenziali associate a un'ampia gamma di piattaforme bancarie e di criptovalute.

Strumenti legittimi trasformati in malevoli

UIA fa parte di Microsoft .NET Framework ed è stato originariamente progettato per aiutare le tecnologie assistive, come gli screen reader, a interagire con gli elementi dell'interfaccia utente nelle applicazioni desktop. Tuttavia, le sue capacità si sono rivelate un'arma a doppio taglio. Nel dicembre 2024, gli esperti di sicurezza hanno presentato una proof-of-concept che dimostrava come UIA potesse essere potenzialmente sfruttata per il furto di dati e l'esecuzione di codice non autorizzato.

Ora, Coyote ha messo in pratica la teoria. Simile ai trojan bancari Android che sfruttano impropriamente i servizi di accessibilità per acquisire informazioni sensibili, Coyote manipola l'UIA per navigare tra gli elementi dell'applicazione ed estrarre credenziali preziose.

Come il coyote caccia i dati

Il trojan inizia il suo processo di raccolta dati utilizzando l'API Windows GetForegroundWindow() per determinare quale finestra sia attualmente attiva. Quindi confronta il titolo di quella finestra con un elenco hard-coded contenente gli indirizzi web di 75 banche e exchange di criptovalute presi di mira, un numero che è aumentato dai 73 obiettivi di inizio 2025.

Se il titolo della finestra non corrisponde a nessuna voce dell'elenco, Coyote cambia strategia. Utilizza l'UIA per analizzare gli elementi figlio dell'interfaccia della finestra attiva, tentando di individuare schede del browser o barre degli indirizzi. Il contenuto di questi elementi dell'interfaccia utente viene nuovamente confrontato con lo stesso elenco di destinazione.

Espansione delle capacità e delle funzionalità stealth

Coyote è dotato di funzioni di sorveglianza aggiuntive, tra cui:

• Registrazione dei tasti premuti per intercettare le credenziali digitate
• Cattura di screenshot per registrare visivamente l'attività dell'utente
• Attacchi overlay che imitano le pagine di accesso bancarie legittime

Inoltre, il malware funziona efficacemente sia in modalità online che offline, garantendo che i suoi meccanismi di raccolta delle credenziali rimangano operativi indipendentemente dalla connettività. Questa flessibilità ne aumenta la persistenza e ne amplia la superficie di attacco.

Perché UIA è una svolta per gli sviluppatori di malware

Di solito, accedere ai sottoelementi di un'altra applicazione è complesso e richiede una conoscenza approfondita della struttura del software di destinazione. Sfruttando l'UIA, Coyote aggira questa barriera, ottenendo una visibilità approfondita dei componenti interni dell'interfaccia utente delle applicazioni con il minimo sforzo. Questa capacità aumenta significativamente il tasso di successo del furto di credenziali.

La crescente minaccia ai dati finanziari

L'adozione dell'automazione dell'interfaccia utente da parte di malware come Coyote segna un'evoluzione preoccupante nel modo in cui le funzionalità legittime dei sistemi vengono sfruttate. Con 75 istituti finanziari già nel mirino e una metodologia di attacco in costante evoluzione, Coyote evidenzia l'urgente necessità di migliorare il monitoraggio e i meccanismi di difesa contro l'abuso dei framework di accessibilità.