Se ha convertido en una innovadora amenaza de ciberseguridad a medida que los investigadores documentan el primer caso confirmado de malware que explota el marco de automatización de interfaz de usuario (UIA) de Microsoft en ataques activos.
El troyano de banca coyote, inicialmente descubierto en febrero de 2024, ha evolucionado para incorporar esta técnica sofisticada, marcando una escalada significativa en las capacidades de malware y las metodologías de ataque.
El malware se dirige específicamente a los usuarios brasileños e instituciones financieras, aprovechando a UIA para extraer credenciales de 75 institutos bancarios diferentes e intercambios de criptomonedas.
Esto representa un avance notable de las demostraciones teóricas de prueba de concepto hasta la explotación del mundo real, validando preocupaciones de larga data sobre el mal uso potencial del marco de accesibilidad de Microsoft.
Coyote opera como un troyano bancario tradicional, pero se distingue a través de su enfoque innovador para la recolección de credenciales.
El malware emplea técnicas convencionales que incluyen superposiciones de keylogging y phishing mientras utiliza el instalador de ardillas para la propagación, obteniendo su nombre de la relación depredador-presa entre coyotes y ardillas.
Investigadores de Akamai identificado Esta variante es particularmente peligrosa debido a su capacidad para operar tanto en línea como fuera de línea, aumentando significativamente su efectividad para identificar y atacar los servicios financieros de las víctimas.
El mecanismo de infección del malware demuestra una ejecución técnica sofisticada.
Mecanismo de infección: aprovechando la automatización de la interfaz de usuario de Microsoft
Inicialmente, Coyote invoca la API de Windows GetForeforeWindow () para obtener un identificador con la ventana actualmente activa, luego compara el título de la ventana con una lista codificada de direcciones web bancarias y intercambio de criptomonedas específicas.
Crema de usuario (pronóstico – habilidades)
Cuando no se produce una coincidencia directa, el malware pasa a su fase de explotación de UIA. Durante el abuso de la UIA, Coyote crea un objeto de uiautomation com usando la ventana de primer plano como su elemento superior.
Uia itera a través de subelementos (fuente-Akamai)
El malware itera sistemáticamente a través de cada subelemento de la aplicación en primer plano para ubicar las pestañas del navegador o las barras de dirección que contienen URL de servicio financiero relevantes.
Este proceso permite a Coyote analizar los elementos infantiles de la interfaz de usuario en diferentes aplicaciones sin requerir un conocimiento detallado de estructuras de aplicación específicas.
El malware luego las referencias cruzadas descubrieron direcciones web con su lista de objetivos predefinidos que clasifica a las instituciones por tipo, incluidos los principales bancos brasileños como Banco do Brasil, Caixabank y Banco Bradesco, junto con varias plataformas de criptomonedas.
Esta implementación de UIA proporciona a los atacantes una solución universal para acceder a subelementos en múltiples aplicaciones, que representa una evolución preocupante en la sofisticación de malware que los profesionales de seguridad deben abordar a través del monitoreo mejorado de UIAutomationCore.dll Uso y las tuberías con nombres relacionadas con la UIA.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
