El troyano bancario de Windows conocido como Coyote se ha convertido en la primera tensión de malware conocida en explotar el ámbito de accesibilidad de Windows llamado Automatización de la interfaz de usufructuario (UIA) para cosechar información confidencial.
“La nueva transformación de Coyote está dirigida a usuarios brasileños y utiliza UIA para extraer credenciales vinculadas a 75 direcciones web de los Institutos Bancarios y los intercambios de criptomonedas”, dijo el investigador de seguridad de Akamai, Tomer Peled, en un disección.
Coyote, revelado por primera vez por Kaspersky en 2024, es conocido por atacar a los usuarios brasileños. Viene con capacidades para registrar las pulsaciones de teclas, capturar capturas de pantalla y atender superposiciones por otra parte de las páginas de inicio de sesión asociadas con las empresas financieras.
Parte del Microsoft .NET Framework, UIA es una característica legítima que Microsoft permite permitir que los lectores de pantalla y otros productos de tecnología de amparo accedan programáticamente a los nociones de la interfaz de usufructuario (UI) en un escritorio.
La UIA puede ser una vía potencial para el demasía, incluido el robo de datos, fue demostrado previamente como una prueba de concepto (POC) por Akamai en diciembre de 2024, con la compañía de infraestructura web que señaló que podría estilarse para robar credenciales o ejecutar código.
De alguna modo, el extremo modus operandi de Coyote refleja los diversos troyanos de banca Android que se han conocido en la naturaleza, que a menudo arman los servicios de accesibilidad del sistema activo para obtener datos valiosos.
El disección de Akamai descubrió que el malware invoca la API GetForeGroundwindow () Windows para extraer el título de la ventana activa y compararlo con una directorio codificada de direcciones web que pertenecen a bancos específicos e intercambios de criptomonedas.
“Si no se encuentra ninguna coincidencia, COYOTE usará UIA para analizar los nociones infantiles de la UI de la ventana en un intento de identificar pestañas del navegador o barras de dirección”, explicó Peled. “El contenido de estos nociones de la interfaz de usufructuario se remisión cruzada con la misma directorio de direcciones de la primera comparación”.
Hasta 75 instituciones financieras diferentes están dirigidas por la última lectura del malware, en comparación con 73 documentados por Fortinet Fortiguard Labs a principios de enero.
“Sin UIA, analizar los subelementos de otra aplicación es una tarea no trivial”, agregó Akamai. “Para poder descifrar de modo efectiva el contenido de los subelementos en el interior de otra aplicación, un desarrollador necesitaría tener una muy buena comprensión de cómo se estructura la aplicación objetivo específica”.
“Coyote puede realizar cheques, independientemente de si el malware está en ringlera o que opera en un modo fuera de ringlera. Esto aumenta las posibilidades de identificar con éxito el mesa de una víctima o el intercambio de secreto y robar sus credenciales”.