Redazione RHC : 23 Luglio 2025 15:10
Una nuova variante del trojan bancario Coyote ha iniziato a utilizzare un metodo insolito per tracciare gli utenti Windows: gli aggressori hanno imparato a utilizzare il sistema Microsoft UI Automation (UIA), progettato per le persone con disabilità, per tracciare le visite ai siti di banking e di scambio di criptovalute. Questo consente al malware di raccogliere dati riservati, inclusi login e password, bypassando al contempo i moderni strumenti di sicurezza.
La piattaforma UIA è stata progettata per consentire alle tecnologie assistive, come gli screen reader, di interagire con gli elementi dell’interfaccia utente di Windows. Le applicazioni compatibili con UIA creano un cosiddetto albero di automazione, in cui ogni elemento (pulsante, finestra, scheda) può essere individuato, analizzato e persino controllato dall’esterno tramite un’apposita API. Questa architettura ha permesso di creare soluzioni intuitive per le persone con disabilità. Tuttavia, è stata proprio questa versatilità e potenza ad attirare l’attenzione dei criminali informatici.
Gli esperti di Akamai avevano lanciato l’allarme sul rischio di un attacco di questo tipo già a dicembre 2024. All’epoca, avevano ipotizzato che UIA potesse essere utilizzata per aggirare i sistemi di difesa di classe EDR (Endpoint Detection and Response), poiché il framework era considerato “sicuro” e non destava sospetti negli antivirus. Ma ora, a partire da febbraio 2025, hanno registrato l’effettivo utilizzo di questa vulnerabilità in attacchi attivi. Si tratta del primo caso nella storia in cui un trojan inizia a utilizzare le funzionalità di UIA per rubare informazioni dal computer di una vittima.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Il trojan Coyote è apparso per la prima volta nel febbraio 2024 e da allora è in fase di sviluppo attivo. Prende di mira principalmente utenti brasiliani ed è in grado di rubare credenziali da 75 banche e piattaforme di criptovalute. In precedenza, il suo arsenale includeva metodi classici: keylogging, finestre di login false e intercettazione dei clic. Ma ora, con l’avvento del supporto UIA, il trojan è diventato molto più sofisticato e pericoloso.
Quando un utente apre un browser e visita il sito web di una banca o di un exchange, Coyote cerca innanzitutto di identificarlo tramite il titolo della finestra. Se non trova una corrispondenza, si connette all’albero UIA, estrae gli indirizzi dalle schede e dalla barra degli indirizzi e li confronta con un elenco hard-coded di 75 servizi target. Tra questi, Banco do Brasil, CaixaBank, Santander, Bradesco, nonché i servizi di criptovalute Binance, Electrum, Bitcoin e Foxbit. Se l’indirizzo corrisponde, il modulo spia viene attivato.
La particolarità dell’attacco è che per ora è limitato alla fase di ricognizione: il trojan si limita a monitorare l’interfaccia utente e a verificare se il bersaglio desiderato è aperto. Tuttavia, gli specialisti di Akamai hanno dimostrato che lo stesso meccanismo può essere utilizzato per leggere i dati di input, inclusi login e password. Hanno pubblicato un esempio tecnico che mostra come l’UIA possa essere utilizzata per acquisire il contenuto dei campi di input, ovvero un furto di account a tutti gli effetti.
Al momento della pubblicazione, Microsoft non aveva rilasciato dichiarazioni in merito a eventuali piani per introdurre ulteriori restrizioni o misure di sicurezza contro tali abusi. Tuttavia, la situazione ricorda un problema di lunga data nell’ecosistema Android, dove i servizi di accessibilità vengono sistematicamente utilizzati in modo improprio da app dannose. In risposta a ciò, Google ha introdotto misure di sicurezza da anni, inasprendo i requisiti per le app che accedono all’interfaccia di Accessibilità.
Framework come UIA nascono con buone intenzioni: aiutare le persone con disabilità a usare i computer come tutti gli altri. Ma con lo sviluppo di vettori di attacco non convenzionali da parte degli aggressori, questi potenti meccanismi di sistema stanno diventando sempre più strumenti per la criminalità informatica.
RedazioneUna falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a...
