Akamai ha confirmado el primer abuso observado del framework UI Automation (UIA) de Microsoft por parte de un malware in-live. Se trata de un troyano bancario recientemente descubierto, Coyote, centrado en Latinoamérica (y reportado originalmente por @johnk3r).
“Hasta ahora, la explotación era solo una prueba de concepto (PoC)”, escribe Akamai. “Aproximadamente dos meses después de la publicación de esa entrada de blog, nuestras preocupaciones se confirmaron cuando se observó una variante del troyano bancario Coyote abusando de UIA in-live”.
Coyote es una conocida familia de malware descubierta en febrero de 2024 y que desde entonces ha causado daños significativos en Latinoamérica.
Tras el descubrimiento inicial de Coyote, numerosos investigadores de seguridad descubrieron detalles de sus operaciones y realizaron análisis técnicos exhaustivos. Uno de estos análisis, publicado por Fortinet en enero de 2025, arrojó luz sobre el funcionamiento interno y la cadena de ataque de Coyote.
Descubierto originalmente en febrero de 2024, Coyote es un sofisticado troyano bancario que utiliza keylogging, superposiciones de phishing y, ahora, abuso de UIA para extraer datos financieros confidenciales de las víctimas. El malware se propagó inicialmente a través del instalador Squirrel, una herramienta de empaquetado que se utiliza a menudo para aplicaciones legítimas, lo que hace que sus vectores de distribución sean especialmente sigilosos.
NOTA: el nombre “Coyote” rinde homenaje a la naturaleza de los coyotes, que cazan ardillas (Squirrel).
El proceso de infección de Coyote se caracteriza por su precisión. Una vez instalado, el troyano se comunica con su servidor de comando y control (C2) para extraer metadatos básicos del sistema, como el nombre del equipo y las credenciales del usuario. Sin embargo, su verdadero objetivo reside en descubrir y comprometer las actividades bancarias o de criptomonedas de la víctima.
El malware primero utiliza la API clásica GetForegroundWindow() para determinar qué ventana está activa en ese momento. A continuación, compara el título de la ventana con una lista predefinida de más de 75 URL de bancos y plataformas de intercambio de criptomonedas. Si no encuentra ninguna coincidencia, Coyote recurre a UIA.
La automatización de la interfaz de usuario (UI) permite a las aplicaciones (y ahora al malware) examinar e interactuar programáticamente con la interfaz de usuario de otras aplicaciones en ejecución. Coyote utiliza esta función para recorrer los elementos secundarios de la ventana en primer plano, buscando barras de direcciones ocultas o datos de pestañas que podrían revelar el uso del sitio web financiero por parte del objetivo.
Una vez confirmada una coincidencia mediante UIA, el malware continúa su operación de robo de credenciales, a menudo eludiendo las defensas tradicionales de los endpoints.
Akamai enfatiza que este es el primer caso conocido de malware que abusa de UIA, un hito que podría indicar una adopción más amplia del marco en futuras cadenas de ataque. Los investigadores proporcionan demostraciones de prueba de concepto que muestran cómo UIA puede utilizarse no solo para la vigilancia, sino también para la manipulación activa.
Esto convierte a UIA en una herramienta potencial para el phishing de alta fidelidad, el secuestro de pestañas y la suplantación de identidad, especialmente en casos en los que el sandbox del navegador y las protecciones de memoria podrían proporcionar cierto aislamiento.
El abuso de UIA por parte de Coyote pone de relieve la necesidad de que los defensores vayan más allá del análisis básico del comportamiento y busquen patrones de acceso a la interfaz de usuario entre procesos, especialmente entre ejecutables desconocidos o sin firmar.
“UIA ofrece varias ventajas a un atacante, incluyendo una solución sencilla para que los desarrolladores de malware analicen subelementos de otra aplicación”, advierte Akamai.
A medida que los atacantes evolucionan, también deben hacerlo las estrategias de detección y respuesta de endpoints (EDR). Los productos de seguridad tradicionales pueden tener dificultades para detectar técnicas basadas en UIA debido a su dependencia de las API integradas del sistema operativo y la interacción no intrusiva con la interfaz gráfica de usuario.
Fuente: Segu-Info
