Los investigadores de ciberseguridad han detectado una evolución significativa del troyano bancario Coyote, que ahora implementa técnicas avanzadas basadas en Microsoft UI Automation (UIA) para comprometer plataformas bancarias y de criptomonedas. Esta nueva metodología representa un cambio paradigmático en las tácticas de ciberdelincuentes, aprovechando funcionalidades del sistema operativo originalmente diseñadas para asistir a usuarios con discapacidades.
¿Qué es Microsoft UI Automation y Cómo se Explota?
Microsoft UI Automation constituye una interfaz de programación de aplicaciones (API) desarrollada para facilitar la interacción de tecnologías asistivas con elementos de la interfaz de usuario en aplicaciones Windows. Este framework permite leer propiedades de elementos interfaz, controlarlos y monitorear cambios en tiempo real.
La arquitectura de aplicaciones se presenta como un árbol jerárquico de UI Automation, otorgando al API UIA la capacidad de examinar contenido, obtener información detallada sobre elementos de interfaz y simular acciones del usuario. Los ciberdelincuentes han pervertido esta tecnología legítima para crear vectores de ataque prácticamente indetectables.
Alertas Tempranas y Materialización de la Amenaza
Los especialistas de Akamai emitieron advertencias en diciembre de 2024 sobre los riesgos potenciales del uso malicioso de UIA para el robo de credenciales. Los investigadores destacaron que esta técnica podría evadir mecanismos de protección EDR en todas las versiones de Windows desde Windows XP.
Las predicciones se materializaron en febrero de 2025, cuando se documentaron los primeros ataques reales empleando esta metodología. Coyote se convirtió en el primer malware conocido que abusa las capacidades de Microsoft UIA para el robo de datos confidenciales.
Análisis Técnico del Troyano Coyote Actualizado
El troyano bancario Coyote fue identificado inicialmente en febrero de 2024, especializándose en la extracción de credenciales de 75 aplicaciones bancarias y de criptomonedas, principalmente dirigido a usuarios brasileños. Sus métodos originales incluían keyloggers y overlays de phishing tradicionales.
La versión contemporánea mantiene las técnicas clásicas pero incorpora funcionalidades avanzadas de explotación UIA. Estas capacidades se activan cuando los usuarios acceden a servicios bancarios o de criptomonedas a través del navegador.
Funcionamiento de la Nueva Técnica de Ataque
Cuando Coyote no puede identificar objetivos mediante títulos de ventana, implementa UIA para extraer direcciones web directamente de elementos de la interfaz del navegador, incluyendo pestañas y barras de direcciones. Los datos obtenidos se comparan con una lista hardcodeada de 75 servicios financieros objetivo.
Entre los blancos principales se encuentran: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original bank, Sicredi, Banco do Nordeste, junto con plataformas de criptomonedas como Binance, Electrum, Bitcoin y Foxbit.
Implicaciones de Seguridad y Proyecciones Futuras
Aunque la implementación actual del abuso UIA se limita a la fase de reconocimiento, los expertos de Akamai han demostrado el potencial para utilizar esta tecnología en el robo directo de credenciales de sitios web objetivo.
Los investigadores señalan que «el análisis de elementos anidados de otras aplicaciones sin UIA representa un desafío no trivial. Para leer efectivamente el contenido de elementos anidados, el desarrollador debe comprender profundamente la arquitectura de la aplicación objetivo específica».
La ventaja del uso de UIA radica en que Coyote puede ejecutar verificaciones independientemente del estado de conectividad (online u offline), incrementando significativamente la probabilidad de identificación exitosa de plataformas bancarias y de criptomonedas para el posterior robo de credenciales.
Esta situación evoca paralelismos con el abuso de Accessibility Services en Android, que ya ha alcanzado proporciones masivas. La emergencia de técnicas similares en entornos Windows requiere atención inmediata de profesionales de seguridad informática y el desarrollo de contramedidas específicas. Las organizaciones deben implementar monitoreo avanzado de comportamiento de aplicaciones y considerar soluciones de seguridad que detecten el uso anómalo de APIs legítimas del sistema operativo para prevenir la proliferación de estas amenazas sofisticadas.
