Il malware Coyote rappresenta una delle minacce più avanzate e innovative nel panorama della sicurezza informatica, soprattutto per quanto riguarda gli utenti Windows in Brasile. Questa nuova variante del trojan bancario Coyote si distingue per essere la prima a sfruttare la funzionalità di accessibilità di Windows nota come UI Automation, uno strumento legittimo integrato nel Microsoft .NET Framework. Nata per aiutare utenti con disabilità a interagire con l’interfaccia grafica delle applicazioni tramite screen reader e tecnologie assistive, la UI Automation è stata ora trasformata in un potente vettore di attacco per il furto di credenziali.

Obiettivi e modalità di attacco

La nuova versione di Coyote si focalizza principalmente su istituti bancari e piattaforme di criptovalute, prendendo di mira ben 75 indirizzi web di banche e exchange di criptovalute, con un aumento rispetto alle precedenti 73 entità già monitorate. Gli attaccanti utilizzano UI Automation per analizzare in modo programmatico le finestre attive e i relativi elementi grafici, riuscendo così a individuare con precisione le pagine di login o le aree di inserimento dati sensibili, anche quando queste si trovano all’interno di browser moderni o applicazioni complesse.

Il malware esegue un controllo continuo delle finestre attive tramite l’API Windows GetForegroundWindow, confrontando il titolo della finestra con una lista di target predefiniti. Se non viene rilevata una corrispondenza, entra in azione la UI Automation che scandaglia i sotto-elementi della finestra, come le tab del browser o le barre degli indirizzi, per identificare possibili sessioni bancarie o di exchange in corso. Una volta individuato un obiettivo valido, Coyote può attivare funzioni come keylogging, cattura schermate e sovrapposizione di finestre di phishing per rubare le credenziali degli utenti.

Innovazione e rischio

Ciò che rende Coyote ancora più pericoloso è la capacità di operare sia online che offline, aumentando così le probabilità di identificare e violare gli account bancari o di criptovalute delle vittime. Questa tecnica richiama quanto già visto nei trojan bancari Android, che sfruttano i servizi di accessibilità per ottenere dati sensibili, ma rappresenta la prima dimostrazione concreta di abuso della UI Automation su sistemi Windows in uno scenario reale.

Come difendersi

Per difendersi da queste nuove minacce è fondamentale mantenere sempre aggiornati i sistemi operativi, monitorare comportamenti anomali delle applicazioni e sensibilizzare gli utenti sui rischi legati alle tecnologie di accessibilità, che possono trasformarsi in un'arma a doppio taglio nelle mani dei cybercriminali.