Windows Banking Trojan, conocido como Coyote, se ha convertido en la primera cepa de malware conocida en cosechar información confidencial utilizando un marco de accesibilidad de Windows llamado UI Automation (UIA).
«La nueva variante de Coyote se dirige a usuarios brasileños y utiliza la UIA para extraer direcciones web de 75 laboratorios y credenciales bancarios vinculados a los intercambios de criptomonedas».
Publicado por primera vez por Kaspersky en 2024, Coyote es conocido por atacar a los usuarios brasileños. Tiene la capacidad de registrar pulsaciones de teclas, capturar capturas de pantalla y proporcionar superposiciones además de las páginas de inicio de sesión relacionadas con las compañías financieras.
Parte del Microsoft .NET Framework, UIA es una característica legítima proporcionada por Microsoft que permite a los lectores de pantalla y otros productos de tecnología de asistencia acceder programáticamente a los elementos de la interfaz de usuario (UI) en el escritorio.
La UIA ha señalado que podría ser una ruta potencial para el abuso, incluido el robo de datos, fue demostrada previamente como una prueba de concepto (POC) por Akamai en diciembre de 2024, y que la compañía de infraestructura web puede ser utilizada para robar calificaciones y ejecutar código.
En cierto sentido, el último modus operandi de Coyote refleja una variedad de troyanos de banca Android descubiertos en la naturaleza, a menudo acumulando datos valiosos utilizando los servicios de accesibilidad del sistema operativo.
El análisis de Akamai reveló que el malware llama a la API de Windows GetForeforeWindow () para extraer el título de la ventana activa y compararlo con una lista de codificación dura de direcciones web que pertenecen al banco objetivo y al intercambio de criptomonedas.
«Si no se encuentra ninguna coincidencia, Coyote usa la UIA para analizar los elementos infantiles de la UI de la ventana para identificar la pestaña del navegador o la barra de direcciones», explicó Peredo. «El contenido de estos elementos de la UI se realizan a partir de la comparación inicial con la misma lista de direcciones».
75 diferentes instituciones financieras están apuntando a las últimas versiones de malware de 73, documentadas por Fortinet Fortiguard Labs a principios de enero de este año.
«En ausencia de UIA, el análisis de los subelementos de otra aplicación es una tarea no trivial», agregó Akamai. «Para poder leer de manera efectiva el contenido de los subelementos dentro de otra aplicación, los desarrolladores deben tener una muy buena comprensión de la estructura de una aplicación objetivo particular».
«Los coyotes pueden realizar cheques independientemente de si el malware está en línea o que opera en modo fuera de línea. Esto asegurará que identifiquen con éxito el banco de la víctima o el intercambio de cifrado y es más probable que roben calificaciones».
Source link
