Redazione RHC : 23 Luglio 2025 15:10
Una nuova variante del trojan bancario Coyote ha iniziato a utilizzare un metodo insolito per tracciare gli utenti Windows: gli aggressori hanno imparato a utilizzare il sistema Microsoft UI Automation (UIA), progettato per le persone con disabilità, per tracciare le visite ai siti di banking e di scambio di criptovalute. Questo consente al malware di raccogliere dati riservati, inclusi login e password, bypassando al contempo i moderni strumenti di sicurezza.
La piattaforma UIA è stata progettata per consentire alle tecnologie assistive, come gli screen reader, di interagire con gli elementi dell’interfaccia utente di Windows. Le applicazioni compatibili con UIA creano un cosiddetto albero di automazione, in cui ogni elemento (pulsante, finestra, scheda) può essere individuato, analizzato e persino controllato dall’esterno tramite un’apposita API. Questa architettura ha permesso di creare soluzioni intuitive per le persone con disabilità. Tuttavia, è stata proprio questa versatilità e potenza ad attirare l’attenzione dei criminali informatici.
Gli esperti di Akamai avevano lanciato l’allarme sul rischio di un attacco di questo tipo già a dicembre 2024. All’epoca, avevano ipotizzato che UIA potesse essere utilizzata per aggirare i sistemi di difesa di classe EDR (Endpoint Detection and Response), poiché il framework era considerato “sicuro” e non destava sospetti negli antivirus. Ma ora, a partire da febbraio 2025, hanno registrato l’effettivo utilizzo di questa vulnerabilità in attacchi attivi. Si tratta del primo caso nella storia in cui un trojan inizia a utilizzare le funzionalità di UIA per rubare informazioni dal computer di una vittima.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Il trojan Coyote è apparso per la prima volta nel febbraio 2024 e da allora è in fase di sviluppo attivo. Prende di mira principalmente utenti brasiliani ed è in grado di rubare credenziali da 75 banche e piattaforme di criptovalute. In precedenza, il suo arsenale includeva metodi classici: keylogging, finestre di login false e intercettazione dei clic. Ma ora, con l’avvento del supporto UIA, il trojan è diventato molto più sofisticato e pericoloso.
Quando un utente apre un browser e visita il sito web di una banca o di un exchange, Coyote cerca innanzitutto di identificarlo tramite il titolo della finestra. Se non trova una corrispondenza, si connette all’albero UIA, estrae gli indirizzi dalle schede e dalla barra degli indirizzi e li confronta con un elenco hard-coded di 75 servizi target. Tra questi, Banco do Brasil, CaixaBank, Santander, Bradesco, nonché i servizi di criptovalute Binance, Electrum, Bitcoin e Foxbit. Se l’indirizzo corrisponde, il modulo spia viene attivato.
La particolarità dell’attacco è che per ora è limitato alla fase di ricognizione: il trojan si limita a monitorare l’interfaccia utente e a verificare se il bersaglio desiderato è aperto. Tuttavia, gli specialisti di Akamai hanno dimostrato che lo stesso meccanismo può essere utilizzato per leggere i dati di input, inclusi login e password. Hanno pubblicato un esempio tecnico che mostra come l’UIA possa essere utilizzata per acquisire il contenuto dei campi di input, ovvero un furto di account a tutti gli effetti.
Al momento della pubblicazione, Microsoft non aveva rilasciato dichiarazioni in merito a eventuali piani per introdurre ulteriori restrizioni o misure di sicurezza contro tali abusi. Tuttavia, la situazione ricorda un problema di lunga data nell’ecosistema Android, dove i servizi di accessibilità vengono sistematicamente utilizzati in modo improprio da app dannose. In risposta a ciò, Google ha introdotto misure di sicurezza da anni, inasprendo i requisiti per le app che accedono all’interfaccia di Accessibilità.
Framework come UIA nascono con buone intenzioni: aiutare le persone con disabilità a usare i computer come tutti gli altri. Ma con lo sviluppo di vettori di attacco non convenzionali da parte degli aggressori, questi potenti meccanismi di sistema stanno diventando sempre più strumenti per la criminalità informatica.
RedazioneLa Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...
La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...
Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...
I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
