Variante del malware Coyote
El troyano bancario de Windows, conocido como Coyote, se ha convertido en la primera cepa de malware observada que abusa del marco de accesibilidad de Windows, UI Automation (UIA), para robar datos confidenciales de los usuarios. Inicialmente descubierto por investigadores de ciberseguridad en 2024, Coyote se dirige principalmente a usuarios brasileños y ha evolucionado para integrar una novedosa técnica que aprovecha UIA para recopilar credenciales vinculadas a una amplia gama de plataformas bancarias y de criptomonedas.
Tabla de contenido
Herramientas legítimas que se volvieron maliciosas
UIA forma parte de Microsoft .NET Framework y se diseñó originalmente para facilitar la interacción de tecnologías de asistencia, como lectores de pantalla, con los elementos de la interfaz de usuario en aplicaciones de escritorio. Sin embargo, sus capacidades han demostrado ser un arma de doble filo. En diciembre de 2024, expertos en seguridad presentaron una prueba de concepto que demostraba que UIA podría ser explotada para el robo de datos y la ejecución no autorizada de código.
Ahora, Coyote ha llevado la teoría a la práctica. Similar a los troyanos bancarios de Android que abusan de los servicios de accesibilidad para capturar información confidencial, Coyote manipula la UIA para navegar por los elementos de la aplicación y extraer credenciales valiosas.
Cómo el coyote caza datos
El troyano inicia su proceso de recopilación de datos utilizando la API de Windows GetForegroundWindow() para determinar qué ventana está activa. A continuación, compara el título de dicha ventana con una lista predefinida que contiene las direcciones web de 75 bancos y plataformas de intercambio de criptomonedas objetivo, una cifra que ha aumentado desde los 73 objetivos a principios de 2025.
Si el título de la ventana no coincide con ninguna entrada de la lista, Coyote cambia de estrategia. Utiliza UIA para analizar los elementos secundarios de la interfaz de la ventana activa, intentando localizar pestañas del navegador o barras de direcciones. El contenido de estos elementos de la interfaz se compara de nuevo con la misma lista de destino.
Ampliación de capacidades y funciones ocultas
Coyote está equipado con funciones de vigilancia adicionales, que incluyen:
- Registro de pulsaciones de teclas para interceptar credenciales escritas
- Captura de pantalla para registrar visualmente la actividad del usuario
- Ataques de superposición que imitan páginas de inicio de sesión bancarias legítimas
Además, el malware funciona eficazmente tanto en línea como fuera de línea, lo que garantiza que sus mecanismos de recolección de credenciales permanezcan operativos independientemente de la conectividad. Esta flexibilidad mejora su persistencia y amplía su superficie de ataque.
Por qué la UIA es un punto de inflexión para los desarrolladores de malware
Normalmente, acceder a subelementos dentro de otra aplicación es complejo y requiere un profundo conocimiento de la estructura del software objetivo. Al explotar la UIA, Coyote supera esta barrera, obteniendo una visibilidad completa de los componentes internos de la interfaz de usuario (UI) de las aplicaciones con un mínimo esfuerzo. Esta capacidad aumenta significativamente la tasa de éxito del robo de credenciales.
La creciente amenaza a los datos financieros
La adopción de la automatización de la interfaz de usuario por parte de malware como Coyote marca una preocupante evolución en la forma en que se utilizan las funciones legítimas del sistema. Con 75 instituciones financieras ya en la mira y una metodología de ataque en constante evolución, Coyote pone de manifiesto la urgente necesidad de mejorar la monitorización y los mecanismos de defensa contra el abuso de la infraestructura de accesibilidad.
