Uma nova variante do trojan bancário 'Coyote' começou a abusar de um recurso de acessibilidade do Windows, o framework de Automação de Interface de Usuário (UI) da Microsoft (Microsoft UIA), para identificar quais sites de bancos e de exchange de criptomoedas são acessados no dispositivo visando o potencial roubo de credenciais.
O Microsoft UIA é uma estrutura de acessibilidade do Windows projetada para permitir que tecnologias assistivas interajam, inspecionem e controlem elementos de interface de usuário (UI) em aplicações.
Os aplicativos do Windows expõem seus elementos de UI por meio de uma árvore de Automação de UI, e a API da UIA oferece uma maneira de percorrê-la, consultar as propriedades de cada elemento e interagir com ele.
Pesquisadores da Akamai haviam alertado sobre a possibilidade de abuso do Windows UIA para roubo de credenciais em dezembro de 2024, destacando que a técnica evita as proteções de detecção e resposta de endpoint (EDR).
Agora, os mesmos pesquisadores relatam que viram ataques explorando a técnica na prática desde fevereiro de 2025, marcando o primeiro caso real de malware abusando do Microsoft UIA para roubo de dados.
Coyote é um trojan bancário que tenta roubar credenciais para 75 aplicativos de bancos e exchange de criptomoedas, visando principalmente usuários brasileiros.
O malware foi documentado pela primeira vez em fevereiro de 2024, utilizando táticas como keylogging e sobreposições de phishing, e passou por um desenvolvimento significativo desde então.
A Akamai relata que, embora a variante mais recente do Coyote continue a roubar dados usando métodos tradicionais para aplicativos codificados, ela adicionou o abuso de UIA quando o usuário abre serviços bancários ou de criptomoedas baseados na web em um navegador.
Se o Coyote não pode identificar um alvo pelo título da janela, ele usa UIA para extrair o endereço web de dentro dos elementos de UI do navegador (abas ou barras de endereço).
Em seguida, compara-o contra uma lista codificada de 75 serviços visados.
"Se nenhum correspondente for encontrado, o Coyote então usa UIA para analisar os elementos filhos da UI da janela na tentativa de identificar abas do navegador ou barras de endereço", explica a Akamai no relatório.
O conteúdo desses elementos de UI será então cruzado com a mesma lista de endereços da primeira comparação.
Alguns dos bancos e exchanges identificados usando esse método incluem Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Banco Original, Sicredi, Banco do Nordeste, aplicativos Expanse e Cryptocurrency (Binance, Electrum, Bitcoin, Foxbit e outros).
Embora o abuso desse recurso de acessibilidade do Windows pare na fase de reconhecimento, a Akamai compartilhou uma demonstração de conceito de como UIA também pode ser abusado para roubar credenciais inseridas para esses sites.
O site BleepingComputer contatou a Microsoft para perguntar sobre a potencial introdução de salvaguardas para impedir o abuso da UIA no Windows, mas um comentário não estava imediatamente disponível.
Os sistemas de acessibilidade são projetados para ser poderosos, permitindo que pessoas com deficiência utilizem plenamente as capacidades de seus dispositivos.
No entanto, esse poder também convida ao uso malicioso.
No Android, esse problema tomou proporções massivas, com malwares abusando extensivamente dos Serviços de Acessibilidade.
Ao longo dos anos, o Google implementou várias medidas para abordar essa questão.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...