Varianta de malware Coyote

Trojanul bancar Windows, cunoscut sub numele de Coyote, a devenit prima tulpină de malware observată care abuzează de cadrul de accesibilitate Windows, UI Automation (UIA), pentru a fura date sensibile ale utilizatorilor. Inițial expus de cercetătorii în domeniul securității cibernetice în 2024, Coyote vizează în principal utilizatorii brazilieni și a evoluat pentru a integra o tehnică nouă care utilizează UIA pentru a colecta acreditări legate de o gamă largă de platforme bancare și de criptomonede.

Instrumente legitime devenite rău intenționate

UIA face parte din Microsoft .NET Framework și a fost inițial conceput pentru a ajuta tehnologiile de asistență, cum ar fi cititoarele de ecran, să interacționeze cu elementele interfeței utilizator din aplicațiile desktop. Cu toate acestea, capacitățile sale s-au dovedit a fi o sabie cu două tăișuri. În decembrie 2024, experții în securitate au prezentat o dovadă de concept care demonstra că UIA ar putea fi exploatată pentru furtul de date și executarea neautorizată de cod.

Acum, Coyote a pus teoria în practică. Similar troienilor bancari Android care utilizează în mod abuziv serviciile de accesibilitate pentru a captura informații sensibile, Coyote manipulează UIA pentru a naviga prin elementele aplicației și a extrage acreditări valoroase.

Cum vânează Coyote datele

Trojanul își începe procesul de colectare a datelor utilizând API-ul Windows GetForegroundWindow() pentru a determina ce fereastră este activă în prezent. Apoi compară titlul acelei ferestre cu o listă hard-coded care conține adresele web a 75 de bănci și burse de criptomonede vizate, un număr care a crescut de la 73 de ținte la începutul anului 2025.

Dacă titlul ferestrei nu se potrivește cu nicio intrare din listă, Coyote își schimbă tactica. Folosește UIA pentru a analiza elementele copil ale interfeței ferestrei active, încercând să localizeze filele browserului sau barele de adrese. Conținutul acestor elemente ale interfeței utilizator este verificat din nou în raport cu aceeași listă țintă.

Capacități extinse și funcții Stealth

Coyote este echipat cu funcții suplimentare de supraveghere, inclusiv:

• Înregistrarea apăsărilor de taste pentru interceptarea acreditărilor introduse
• Captură de ecran pentru înregistrarea vizuală a activității utilizatorului
• Atacuri suprapuse care imită pagini de conectare bancară legitime

Mai mult, malware-ul funcționează eficient atât în modul online, cât și offline, asigurându-se că mecanismele sale de recoltare a acreditărilor rămân operaționale indiferent de conectivitate. Această flexibilitate îi sporește persistența și îi lărgește suprafața de atac.

De ce UIA schimbă jocul pentru dezvoltatorii de malware

În mod obișnuit, accesarea subelementelor dintr-o altă aplicație este complexă, necesitând o înțelegere aprofundată a modului în care este structurat software-ul țintă. Prin exploatarea UIA, Coyote ocolește această barieră, obținând o vizibilitate profundă asupra componentelor interne ale UI ale aplicațiilor cu un efort minim. Această capacitate crește semnificativ rata de succes a furtului de acreditări.

Amenințarea tot mai mare la adresa datelor financiare

Adoptarea automatizării interfeței utilizator de către programe malware precum Coyote marchează o evoluție îngrijorătoare în modul în care funcțiile legitime ale sistemului sunt transformate în arme. Având deja 75 de instituții financiare în vizor și o metodologie de atac în continuă dezvoltare, Coyote subliniază nevoia urgentă de îmbunătățire a monitorizării și a mecanismelor defensive împotriva abuzului cadrului de accesibilitate.