Coyote, il trojan che fa la storia! Sfruttati i sistemi per i disabili per violare i conti bancari

Una nuova variante del trojan bancario Coyote ha iniziato a utilizzare un metodo insolito per tracciare gli utenti Windows: gli aggressori hanno imparato a utilizzare il sistema Microsoft UI Automation (UIA), progettato per le persone con disabilità, per tracciare le visite ai siti di banking e di scambio di criptovalute. Questo consente al malware di raccogliere dati riservati, inclusi login e password, bypassando al contempo i moderni strumenti di sicurezza.

La piattaforma UIA è stata progettata per consentire alle tecnologie assistive, come gli screen reader, di interagire con gli elementi dell’interfaccia utente di Windows. Le applicazioni compatibili con UIA creano un cosiddetto albero di automazione, in cui ogni elemento (pulsante, finestra, scheda) può essere individuato, analizzato e persino controllato dall’esterno tramite un’apposita API. Questa architettura ha permesso di creare soluzioni intuitive per le persone con disabilità. Tuttavia, è stata proprio questa versatilità e potenza ad attirare l’attenzione dei criminali informatici.

Gli esperti di Akamai avevano lanciato l’allarme sul rischio di un attacco di questo tipo già a dicembre 2024. All’epoca, avevano ipotizzato che UIA potesse essere utilizzata per aggirare i sistemi di difesa di classe EDR (Endpoint Detection and Response), poiché il framework era considerato “sicuro” e non destava sospetti negli antivirus. Ma ora, a partire da febbraio 2025, hanno registrato l’effettivo utilizzo di questa vulnerabilità in attacchi attivi. Si tratta del primo caso nella storia in cui un trojan inizia a utilizzare le funzionalità di UIA per rubare informazioni dal computer di una vittima.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il trojan Coyote è apparso per la prima volta nel febbraio 2024 e da allora è in fase di sviluppo attivo. Prende di mira principalmente utenti brasiliani ed è in grado di rubare credenziali da 75 banche e piattaforme di criptovalute. In precedenza, il suo arsenale includeva metodi classici: keylogging, finestre di login false e intercettazione dei clic. Ma ora, con l’avvento del supporto UIA, il trojan è diventato molto più sofisticato e pericoloso.

Quando un utente apre un browser e visita il sito web di una banca o di un exchange, Coyote cerca innanzitutto di identificarlo tramite il titolo della finestra. Se non trova una corrispondenza, si connette all’albero UIA, estrae gli indirizzi dalle schede e dalla barra degli indirizzi e li confronta con un elenco hard-coded di 75 servizi target. Tra questi, Banco do Brasil, CaixaBank, Santander, Bradesco, nonché i servizi di criptovalute Binance, Electrum, Bitcoin e Foxbit. Se l’indirizzo corrisponde, il modulo spia viene attivato.

La particolarità dell’attacco è che per ora è limitato alla fase di ricognizione: il trojan si limita a monitorare l’interfaccia utente e a verificare se il bersaglio desiderato è aperto. Tuttavia, gli specialisti di Akamai hanno dimostrato che lo stesso meccanismo può essere utilizzato per leggere i dati di input, inclusi login e password. Hanno pubblicato un esempio tecnico che mostra come l’UIA possa essere utilizzata per acquisire il contenuto dei campi di input, ovvero un furto di account a tutti gli effetti.

Al momento della pubblicazione, Microsoft non aveva rilasciato dichiarazioni in merito a eventuali piani per introdurre ulteriori restrizioni o misure di sicurezza contro tali abusi. Tuttavia, la situazione ricorda un problema di lunga data nell’ecosistema Android, dove i servizi di accessibilità vengono sistematicamente utilizzati in modo improprio da app dannose. In risposta a ciò, Google ha introdotto misure di sicurezza da anni, inasprendo i requisiti per le app che accedono all’interfaccia di Accessibilità.

Framework come UIA nascono con buone intenzioni: aiutare le persone con disabilità a usare i computer come tutti gli altri. Ma con lo sviluppo di vettori di attacco non convenzionali da parte degli aggressori, questi potenti meccanismi di sistema stanno diventando sempre più strumenti per la criminalità informatica.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.