Noua variantă a troianului Coyote exploatează o parte importantă din Windows pentru a fura date bancare. La ce să fii atent
Un nou val al troianului bancar Coyote introduce o tehnică periculoasă: exploatarea Windows UI Automation (UIA), o funcție de accesibilitate destinată persoanelor cu dizabilități, pentru a colecta credențiale bancare și date de pe platforme cripto.
Descoperirea aparține cercetătorilor Akamai, care au confirmat că noua variantă vizează în principal utilizatorii din Brazilia, extinzând lista țintelor la 75 de bănci și exchange-uri, față de 73 în ianuarie 2025, scrie The Hacker News.
Cum funcționează noua metodă de atac a hackerilor
Coyote, identificat inițial de Kaspersky în 2024, era deja cunoscut pentru metodele sale clasice de furt: keylogging, capturi de ecran și suprapuneri false peste paginile legitime de autentificare.
Noua abordare însă îl face și mai periculos. UI Automation este o componentă a Microsoft .NET Framework ce permite aplicațiilor asistive să „citească” interfața grafică a altor programe. În mâinile atacatorilor, acest instrument devine o unealtă extrem de eficientă pentru a extrage date sensibile fără a fi detectați.
Cum funcționează? Malware-ul apelează mai întâi API-ul GetForegroundWindow() pentru a identifica titlul ferestrei active. Dacă acesta corespunde unei bănci vizate, începe imediat colectarea datelor.
Dacă nu găsește potriviri, troianul folosește UI Automation pentru a explora elementele ferestrei, cum ar fi tab-urile browserului sau bara de adrese, căutând din nou semnale care indică o pagină bancară sau un exchange cripto. Astfel, chiar și fără conexiune la internet, Coyote poate recunoaște o țintă și intercepta credențialele utilizatorului.
Troianul amintește de tacticile celor care funcționau pe Android și vizau conturile bancare
Metoda amintește de tacticile troienilor bancari de pe Android, care abuzează serviciile de accesibilitate pentru a controla interfețele altor aplicații.
Fără UI Automation, analizarea elementelor grafice ale altor programe ar necesita o cunoaștere detaliată a structurii fiecărui browser sau aplicație. Cu UIA însă, procesul devine mult mai simplu, oferind atacatorilor un avantaj major.
Deși deocamdată se concentrează pe Brazilia, noua variantă ar putea fi ușor adaptată pentru alte regiuni. Experții recomandă utilizatorilor să își actualizeze constant sistemele și soluțiile antivirus, să fie atenți la aplicațiile care solicită acces la funcțiile de accesibilitate și să activeze autentificarea multi-factor pentru conturile financiare.
Specialiștii avertizează că succesul lui Coyote ar putea inspira și alte familii de malware să adopte aceeași strategie, transformând o funcție gândită pentru accesibilitate într-un vector global de atac cibernetic.
