Akamai ha confirmado el primer abuso observado del framework UI Automation
(UIA) de Microsoft por parte de un malware in-live. Se trata de un
troyano bancario recientemente descubierto,
Coyote, centrado en Latinoamérica (y reportado originalmente por
@johnk3r).
«Hasta ahora, la explotación era solo una prueba de concepto (PoC)»,
escribe Akamai.
«Aproximadamente dos meses después de la publicación de
esa entrada de blog, nuestras preocupaciones se confirmaron cuando se observó una variante del
troyano bancario Coyote abusando de UIA in-live».
Coyote es una conocida familia de malware descubierta en febrero de 2024 y
que desde entonces ha causado daños significativos en Latinoamérica.
Tras el descubrimiento inicial de Coyote, numerosos investigadores de
seguridad descubrieron detalles de sus operaciones y realizaron análisis
técnicos exhaustivos. Uno de estos análisis, publicado por Fortinet en enero
de 2025, arrojó luz sobre el funcionamiento interno y la cadena de ataque de
Coyote.
Descubierto originalmente en febrero de 2024, Coyote es un sofisticado troyano
bancario que utiliza keylogging, superposiciones de phishing y, ahora,
abuso de UIA para extraer datos financieros confidenciales de las víctimas. El
malware se propagó inicialmente a través del instalador Squirrel, una
herramienta de empaquetado que se utiliza a menudo para aplicaciones
legítimas, lo que hace que sus vectores de distribución sean especialmente
sigilosos.
NOTA: el nombre «Coyote» rinde homenaje a la naturaleza de los coyotes,
que cazan ardillas (Squirrel).
El proceso de infección de Coyote se caracteriza por su precisión. Una vez
instalado, el troyano se comunica con su servidor de comando y control (C2)
para extraer metadatos básicos del sistema, como el nombre del equipo y las
credenciales del usuario. Sin embargo, su verdadero objetivo reside en
descubrir y comprometer las actividades bancarias o de criptomonedas de la
víctima.
El malware primero utiliza la API clásica GetForegroundWindow() para
determinar qué ventana está activa en ese momento. A continuación, compara el
título de la ventana con una lista predefinida de más de 75 URL de bancos y
plataformas de intercambio de criptomonedas. Si no encuentra ninguna
coincidencia, Coyote recurre a UIA.
La automatización de la interfaz de usuario (UI) permite a las aplicaciones (y
ahora al malware) examinar e interactuar programáticamente con la interfaz de
usuario de otras aplicaciones en ejecución. Coyote utiliza esta función para
recorrer los elementos secundarios de la ventana en primer plano, buscando
barras de direcciones ocultas o datos de pestañas que podrían revelar el uso
del sitio web financiero por parte del objetivo.
Una vez confirmada una coincidencia mediante UIA, el malware continúa su
operación de robo de credenciales, a menudo eludiendo las defensas
tradicionales de los endpoints.
Akamai enfatiza que este es el primer caso conocido de malware que abusa de
UIA, un hito que podría indicar una adopción más amplia del marco en futuras
cadenas de ataque. Los investigadores proporcionan demostraciones de prueba de
concepto que muestran cómo UIA puede utilizarse no solo para la vigilancia,
sino también para la manipulación activa.
Esto convierte a UIA en una herramienta potencial para el phishing de alta
fidelidad, el secuestro de pestañas y la suplantación de identidad,
especialmente en casos en los que el sandbox del navegador y las
protecciones de memoria podrían proporcionar cierto aislamiento.
El abuso de UIA por parte de Coyote pone de relieve la necesidad de que los
defensores vayan más allá del análisis básico del comportamiento y busquen
patrones de acceso a la interfaz de usuario entre procesos, especialmente
entre ejecutables desconocidos o sin firmar.
«UIA ofrece varias ventajas a un atacante, incluyendo una solución sencilla
para que los desarrolladores de malware analicen subelementos de otra
aplicación», advierte Akamai.
A medida que los atacantes evolucionan, también deben hacerlo las estrategias
de detección y respuesta de endpoints (EDR). Los productos de seguridad
tradicionales pueden tener dificultades para detectar técnicas basadas en UIA
debido a su dependencia de las API integradas del sistema operativo y la
interacción no intrusiva con la interfaz gráfica de usuario.
Fuente:
SecurityOnline