El troyano bancario de Windows conocido como Coyote se ha convertido en la primera tensión de malware conocida en explotar el marco de accesibilidad de Windows llamado Automatización de la interfaz de usuario (UIA) para cosechar información confidencial.
«La nueva variante de Coyote está dirigida a usuarios brasileños y utiliza UIA para extraer credenciales vinculadas a 75 direcciones web de los Institutos Bancarios y los intercambios de criptomonedas», dijo el investigador de seguridad de Akamai, Tomer Peled, en un análisis.
Coyote, revelado por primera vez por Kaspersky en 2024, es conocido por atacar a los usuarios brasileños. Viene con capacidades para registrar las pulsaciones de teclas, capturar capturas de pantalla y atender superposiciones además de las páginas de inicio de sesión asociadas con las empresas financieras.
Parte del Microsoft .NET Framework, UIA es una característica legítima que Microsoft permite permitir que los lectores de pantalla y otros productos de tecnología de asistencia accedan programáticamente a los elementos de la interfaz de usuario (UI) en un escritorio.
La UIA puede ser una vía potencial para el abuso, incluido el robo de datos, fue demostrado previamente como una prueba de concepto (POC) por Akamai en diciembre de 2024, con la compañía de infraestructura web que señaló que podría usarse para robar credenciales o ejecutar código.
De alguna manera, el último modus operandi de Coyote refleja los diversos troyanos de banca Android que se han visto en la naturaleza, que a menudo arman los servicios de accesibilidad del sistema operativo para obtener datos valiosos.
El análisis de Akamai descubrió que el malware invoca la API GetForeGroundwindow () Windows para extraer el título de la ventana activa y compararlo con una lista codificada de direcciones web que pertenecen a bancos específicos e intercambios de criptomonedas.
«Si no se encuentra ninguna coincidencia, COYOTE usará UIA para analizar los elementos infantiles de la UI de la ventana en un intento de identificar pestañas del navegador o barras de dirección», explicó Peled. «El contenido de estos elementos de la interfaz de usuario se referencia cruzada con la misma lista de direcciones de la primera comparación».
Hasta 75 instituciones financieras diferentes están dirigidas por la última versión del malware, en comparación con 73 documentados por Fortinet Fortiguard Labs a principios de enero.
«Sin UIA, analizar los subelementos de otra aplicación es una tarea no trivial», agregó Akamai. «Para poder leer de manera efectiva el contenido de los subelementos dentro de otra aplicación, un desarrollador necesitaría tener una muy buena comprensión de cómo se estructura la aplicación objetivo específica».
«Coyote puede realizar cheques, independientemente de si el malware está en línea o que opera en un modo fuera de línea. Esto aumenta las posibilidades de identificar con éxito el banco de una víctima o el intercambio de cifrado y robar sus credenciales».