I ricercatori di sicurezza informatica hanno identificato una nuova minaccia che rappresenta un punto di svolta nell'evoluzione del malware bancario: il trojan Coyote ha infatti dimostrato di essere il primo esemplare in circolazione a sfruttare il framework UI Automation di Microsoft per condurre attacchi mirati contro istituti finanziari. Questa scoperta conferma le previsioni formulate dai ricercatori di Akamai nel dicembre 2024, che avevano messo in guardia sulla possibilità che questo strumento di accessibilità potesse essere utilizzato per scopi malevoli. L'innovazione tecnica rappresentata da questa minaccia segna l'inizio di una nuova era per gli attacchi informatici, dove gli strumenti progettati per migliorare l'accessibilità dei sistemi Windows vengono trasformati in armi digitali.
Un arsenale digitale puntato sui conti correnti brasiliani
L'obiettivo principale del malware Coyote è rappresentato dagli utenti brasiliani, con una capacità operativa che abbraccia oltre 75 istituti bancari e piattaforme di criptovalute. Il trojan non si limita a una singola modalità di attacco, ma integra diverse funzionalità dannose che includono il keylogging per catturare le sequenze di tasti digitati dagli utenti, la cattura di screenshot per documentare le attività finanziarie e la creazione di overlay di phishing progettati per ingannare le vittime durante le operazioni bancarie online.
La distribuzione di questa minaccia avviene attraverso una catena di infezione che inizia con file LNK appositamente creati, i quali eseguono comandi PowerShell per installare il trojan sul sistema della vittima. I ricercatori di FortiGuard Labs hanno individuato questa campagna nel febbraio scorso, evidenziando come gli attaccanti abbiano perfezionato le loro tecniche per aggirare i sistemi di sicurezza tradizionali.
La rivoluzione dell'UI Automation Framework
Il framework UI Automation di Microsoft, originariamente concepito per facilitare l'accesso automatizzato alle interfacce utente delle applicazioni Windows per persone con disabilità, è stato trasformato in uno strumento di attacco di notevole efficacia. Questa tecnologia consente al malware di analizzare elementi dell'interfaccia utente che normalmente rimangono nascosti agli strumenti di monitoraggio tradizionali, incluse le schede del browser e altri componenti dell'interfaccia grafica.
Come spiegano i ricercatori di Akamai nel loro rapporto: "Coyote ora sfrutta UIA come parte delle sue operazioni. Come qualsiasi altro trojan bancario, Coyote cerca informazioni bancarie, ma ciò che distingue Coyote è il modo in cui ottiene queste informazioni, che coinvolge l'abuso di UIA". Questa capacità permette al malware di estrarre indirizzi web nascosti e confrontarli con la sua lista di obiettivi predefiniti, aumentando significativamente le probabilità di successo degli attacchi.
Meccanismi di rilevamento e identificazione delle vittime
Il processo operativo di Coyote inizia con una fase di ricognizione durante la quale il malware raccoglie dettagli del sistema e si concentra sull'identificazione dei servizi finanziari utilizzati dalla vittima. La prima verifica viene effettuata confrontando il titolo della finestra attiva con un database di 75 indirizzi di banche e siti di criptovalute. Quando questa verifica iniziale non produce risultati, entra in azione la tecnologia UI Automation, che permette al trojan di scavare più in profondità negli elementi dell'interfaccia utente.
Questa approccio multistrato garantisce una copertura estensiva delle attività finanziarie dell'utente, permettendo al malware di identificare anche quelle operazioni che potrebbero sfuggire a un controllo superficiale. La capacità di funzionare anche in modalità offline rappresenta un ulteriore vantaggio per gli attaccanti, che possono così analizzare le applicazioni target senza destare sospetti attraverso comunicazioni di rete anomale.
Implicazioni future e tecniche di difesa
L'adozione del framework UI Automation da parte degli sviluppatori di malware apre scenari preoccupanti per il futuro della sicurezza informatica. Oltre alla lettura degli elementi dell'interfaccia utente, questa tecnologia permette agli attaccanti di manipolare componenti UI per tecniche di ingegneria sociale particolarmente sofisticate, come la modifica delle barre degli indirizzi dei browser o il reindirizzamento degli utenti con indicazioni visive minime.
Per contrastare questa nuova categoria di minacce, i ricercatori raccomandano agli amministratori di sistema di implementare sistemi di monitoraggio specifici. In particolare, è fondamentale sorvegliare il caricamento della libreria UIAutomationCore.dll da parte di processi sconosciuti e monitorare la creazione di named pipes specifici come UIA_PIPE_*. L'utilizzo di strumenti come osquery può facilitare l'identificazione di questi indicatori di compromissione.
Come concludono i ricercatori nel loro rapporto: "Sebbene UIA possa sembrare uno strumento innocuo, come abbiamo evidenziato nel nostro precedente post, l'abuso delle sue capacità può portare a danni gravi per le organizzazioni. Crediamo che UIA rappresenti un vettore di attacco valido e pericoloso che merita seria attenzione, e che probabilmente vedremo un aumento degli abusi in futuro."