Variante do Malware Coyote
O trojan bancário para Windows, conhecido como Coyote, surgiu como a primeira cepa de malware observada explorando a estrutura de acessibilidade do Windows, UI Automation (UIA), para roubar dados confidenciais de usuários. Inicialmente exposto por pesquisadores de segurança cibernética em 2024, o Coyote tem como alvo principal usuários brasileiros e evoluiu para integrar uma nova técnica que utiliza a UIA para coletar credenciais vinculadas a uma ampla gama de plataformas bancárias e de criptomoedas.
Índice
Ferramentas legítimas que se tornaram maliciosas
O UIA faz parte do Microsoft .NET Framework e foi originalmente projetado para ajudar tecnologias assistivas, como leitores de tela, a interagir com elementos da interface do usuário em aplicativos de desktop. No entanto, seus recursos provaram ser uma faca de dois gumes. Em dezembro de 2024, especialistas em segurança apresentaram uma prova de conceito demonstrando que o UIA poderia ser potencialmente explorado para roubo de dados e execução não autorizada de código.
Agora, o Coyote colocou a teoria em prática. Semelhante aos trojans bancários para Android, que usam indevidamente serviços de acessibilidade para capturar informações confidenciais, o Coyote manipula a interface do usuário (UIA) para navegar pelos elementos do aplicativo e extrair credenciais valiosas.
Como o Coyote Caça Dados
O trojan inicia seu processo de coleta de dados usando a API do Windows GetForegroundWindow() para determinar qual janela está ativa no momento. Em seguida, ele compara o título dessa janela com uma lista codificada contendo os endereços da web de 75 bancos e corretoras de criptomoedas alvos, um número que cresceu de 73 alvos no início de 2025.
Se o título da janela não corresponder a nenhuma entrada da lista, o Coyote muda de tática. Ele usa a UIA para analisar os elementos filhos da interface da janela ativa, tentando localizar abas do navegador ou barras de endereço. O conteúdo desses elementos da IU é verificado novamente em relação à mesma lista de alvos.
Expansão de capacidades e recursos de furtividade
O Coyote está equipado com funções de vigilância adicionais, incluindo:
- Registro de pressionamento de tecla para interceptar credenciais digitadas
- Captura de tela para registrar visualmente a atividade do usuário
- Ataques de sobreposição que imitam páginas de login bancário legítimas
Além disso, o malware funciona eficazmente tanto online quanto offline, garantindo que seus mecanismos de coleta de credenciais permaneçam operacionais independentemente da conectividade. Essa flexibilidade aumenta sua persistência e amplia sua superfície de ataque.
Por que a UIA é uma mudança radical para desenvolvedores de malware
Normalmente, acessar subelementos dentro de outro aplicativo é complexo, exigindo um profundo entendimento de como o software alvo está estruturado. Ao explorar a UIA, o Coyote contorna essa barreira, obtendo visibilidade profunda dos componentes internos da interface do usuário (UI) dos aplicativos com o mínimo de esforço. Essa capacidade aumenta significativamente a taxa de sucesso do roubo de credenciais.
A crescente ameaça aos dados financeiros
A adoção da automação de interface do usuário por malwares como o Coyote marca uma evolução preocupante na forma como recursos legítimos do sistema estão sendo transformados em armas. Com 75 instituições financeiras já na mira e uma metodologia de ataque em constante evolução, o Coyote destaca a necessidade urgente de aprimorar o monitoramento e os mecanismos de defesa contra o abuso de estruturas de acessibilidade.
