Coyote Trojan utiliza Microsoft UI Automation em ataques bancários

São Paulo — InkDesign News — Uma nova variante do trojan Coyote foi identificada, destacando não apenas seus alvos, mas também a forma inovadora de execução. Pesquisadores de segurança da Akamai confirmaram que esta versão é a primeira a utilizar ativamente o framework de Automação de UI da Microsoft (UIA) para “extrair credenciais bancárias” (“extract banking credentials”).

Incidente e vulnerabilidade

O trojan Coyote, cuja presença foi detectada pela primeira vez em fevereiro de 2024, está mudando suas táticas ao utilizar a Automação de UI. Antes, preocupações sobre a vulnerabilidade da UIA eram apenas conceituais, mas agora, com o uso deste malware em ataques direcionados a usuários brasileiros, a situação se tornou crítica. A utilização do UIA permite que o malware evite ferramentas de resposta e detecção de endpoints (EDR). Quando o título da janela ativa não corresponde a endereços de instituições financeiras pré-carregados, Coyote passa a escanear elementos da interface ativa, procurando sinais de atividade financeira.

Impacto e resposta

Com uma lista codificada de 75 instituições financeiras e plataformas de criptomoeda, o Coyote não apenas identifica bancos, mas também coleta detalhes do sistema, como nome do computador e dados do navegador, enviando essas informações para sua infraestrutura de comando e controle. Mesmo quando offline, o malware executa verificações localmente, complicando sua detecção através do tráfego de rede. Akamai mostrou como este tipo de ataque pode não apenas capturar dados, mas também manipular elementos da interface do usuário, alterando, por exemplo, a barra de endereços de um navegador para redirecionar o usuário a um site de phishing.

Mitigações recomendadas

Akamai recomenda monitorar o carregamento do arquivo UIAutomationCore.dll em processos não familiares, além de utilizar comandos do osquery para identificar interações suspeitas com pipes nomeados relacionados à UIA. A detecção dessas atividades pode servir como um aviso precoce de que um invasor está acessando a interface do usuário. O serviço de caça a ameaças da Akamai já começou a examinar ambientes em busca de anomalias, alertando clientes quando atividades suspeitas relativas à UIA são detectadas.

“A vulnerabilidade da UIA apresenta novos vetores de ataque que exigem atenção em nível empresarial.”
(“The vulnerability of UIA presents new attack vectors that require enterprise-level attention.”)

— Analista de Segurança, Akamai

Os riscos remanescentes demandam que organizações permaneçam vigilantes e atualizadas sobre as melhores práticas de segurança cibernética, especialmente diante da evolução constante de ameaças como o trojan Coyote.

Fonte: (Hack Read – Segurança Cibernética)