A Akamai descobriu uma nova campanha de ataques com malware. Segundo a empresa, usuários brasileiros de 75 instituições financeiras, entre bancos e câmbios de criptomoedas, estão na mira de uma nova variante do trojan Coyote, que explora um recurso de acessibilidade do Windows para roubar credenciais bancárias ou de carteiras digitais.
De acordo com a pesquisa, está disponível desde o Windows XP, o UIA (User Interface Automation) é capaz de ler a tela, aumentar o tamanho do texto ou executar cliques automaticamente, entre outras ações de acessibilidade, o que também o transforma em uma arma poderosa para os cibercriminosos. É por meio do recurso que os cibercriminosos manipulam páginas na web para roubar os dados sem que as vítimas percebam.
Os especialistas explicaram que após a infecção do dispositivo, o malware envia informações como nome de usuário, atributos do sistema operacional e detalhes do computador a um servidor de comando e controle. Na sequência, passa a analisar as páginas visitadas pela vítima. Mesmo sem login direto em sites bancários, o Coyote é capaz de identificar abas abertas ou elementos visuais associados a instituições financeiras e plataformas de criptoativos, como Bradesco, Banco do Brasil, Santander, Caixa, Binance e Mercado Bitcoin, entre outras.
Quando identifica um alvo, o Coyote pode agir de diferentes maneiras, manipulando componentes exibidos na tela ou realizando cliques não autorizados para redirecionar as vítimas a páginas maliciosas. Segundo a análise, o objetivo final é induzir à digitação de senhas, informações de cartão de crédito e outros dados financeiros que são enviados diretamente aos golpistas.
“O Coyote age contra usuários da América Latina desde fevereiro de 2024 e a nova variante mostra como os desenvolvedores cibercriminosos seguem aplicando novas técnicas às suas criações maliciosas. O uso de um recurso amplamente disponível expande significativamente a superfície de ataque do malware”, afirmou Rubens Waberski, Solutions Engineering Manager na Akamai Technologies
Monitoramento é chave para proteção
De acordo com os especialistas, o monitoramento constante de processos nos dispositivos é a chave para detectar o comprometimento do recurso de acessibilidade do Windows. Mais especificamente, administradores devem prestar atenção ao uso do UIAutomationCore.dll, um processo que deve levantar preocupações se carregado a elementos do sistema operacional sem ordem do usuário.
Eles explicaram que as conexões abertas pelo UIA também devem ser monitoradas e ajudam a identificar o uso malicioso da solução para contato com servidores de controle. Soluções de segurança como o Akamai Hunt, o serviço de caça a ameaças gerenciado da empresa, já oferecem proteção contra estas e outras variantes, emitindo alertas caso o uso não autorizado da tecnologia seja identificado.
“Os sistemas de usabilidade do Windows são ferramentas inofensivas e de grande importância. Porém, elas também devem se tornar um vetor de ataques que exigirá atenção, com o uso destas capacidades levantando um alerta importante e exigindo que as organizações estejam sempre preparadas a ameaças emergentes, que podem vir de origens inéditas”, finalizou o executivo.
