Se ha identificado una nueva variante del troyano bancario para Windows conocido como Coyote, que es el primer malware que aprovecha el marco de accesibilidad de Windows llamado Automatización de la Interfaz de Usuario (UI Automation o UIA) para robar información sensible relacionada con credenciales bancarias y de criptomonedas.

El investigador de seguridad Tomer Peled, de Akamai, explicó que esta variante está dirigida específicamente a usuarios en Brasil y utiliza UIA para extraer datos de acceso vinculados a 75 instituciones bancarias y plataformas de intercambio de criptomonedas.

Originalmente descubierto por Kaspersky en 2024, Coyote es conocido por sus capacidades de registrar pulsaciones de teclado, capturar pantallas y mostrar superposiciones falsas sobre páginas de inicio de sesión de sitios financieros para engañar a los usuarios.

UI Automation es una función legítima de Microsoft dentro del framework .NET diseñada para ayudar a lectores de pantalla y otras herramientas de accesibilidad a acceder programáticamente a los elementos de la interfaz en el escritorio. Sin embargo, ahora se ha descubierto que esta función puede ser explotada por malware como una vía para el robo de datos.

Akamai ya había demostrado en diciembre de 2024, con una prueba de concepto, cómo esta vulnerabilidad en UIA podía usarse para robar credenciales o incluso ejecutar código malicioso.

El modo de operación de Coyote es similar al de ciertos troyanos bancarios en Android que también abusan de los servicios de accesibilidad para obtener datos sensibles.

Según el análisis de Akamai, el malware utiliza la función GetForegroundWindow() de la API de Windows para obtener el título de la ventana activa y compararlo con una lista predefinida de URLs de bancos y plataformas de criptomonedas objetivo. Si no encuentra coincidencia, Coyote utiliza UIA para examinar los elementos secundarios de la interfaz, como pestañas del navegador o barras de direcciones, cruzando estos datos con su lista de objetivos conocidos.

Esta versión actualizada de Coyote ha incrementado su número de objetivos a 75 instituciones financieras, en comparación con las 73 reportadas a principios de año por Fortinet FortiGuard Labs.

Akamai destaca que, sin UIA, analizar los elementos internos de la interfaz de otra aplicación sería una tarea muy compleja que requeriría un conocimiento profundo de su estructura. La explotación de UIA facilita considerablemente este proceso para el malware.

Además, Coyote puede funcionar tanto en modo online como offline, aumentando sus posibilidades de identificar correctamente la plataforma financiera o de criptomonedas de la víctima y robar sus credenciales con éxito.

Fuente: https://thehackernews.com/2025/07/new-coyote-malware-variant-exploits.html