Nuevo malware peligroso utiliza herramientas de accesibilidad de Windows para robar cuentas bancarias.
El malware Coyote tiene como objetivo acceder a la información almacenada en tu navegador.
Coyote, un troyano bancario conocido por sus capacidades de ataque a múltiples aplicaciones de banca y criptomonedas, ha sido mejorado para detectar intercambios de criptomonedas y cuentas bancarias abiertas en navegadores web, según alertan los expertos. Investigadores en ciberseguridad de Akamai, quienes han estado advirtiendo sobre Coyote desde diciembre de 2024, explicaron que en versiones anteriores, este malware era capaz de registrar pulsaciones de teclas o mostrar superposiciones de phishing para robar información de inicio de sesión de 75 aplicaciones financieras. Sin embargo, el troyano no se activaba si los usuarios abrían estas cuentas directamente en el navegador.
La nueva variante de Coyote ha empezado a abusar del marco de automatización de UI de Microsoft para detectar qué sitios de banca y exchanges de criptomonedas se están abriendo en el navegador. Este marco facilita la interacción de software con aplicaciones de Windows, siendo especialmente útil para lectores de pantalla y pruebas automáticas, ya que permite que los programas “vean” botones, menús y otros componentes de una aplicación.
Akamai reporta que Coyote puede ahora utilizar este marco para leer la dirección web que aparece en las pestañas o en la barra de direcciones del navegador y comparar los resultados con una lista predefinida de 75 servicios objetivo. Si encuentra coincidencias, procede a analizar los elementos de la UI para identificar qué pestañas o barras de direcciones están presentes.
Los usuarios brasileños son el principal objetivo de Coyote, que suele atacar bancos como Banco do Brasil, CaixaBank, Banco Bradesco, Santander, entre otros, así como diversos intercambios de criptomonedas como Binance, Electrum y Bitcoin. Este desarrollo se enmarca dentro de advertencias sobre el abuso del marco de UI en el robo de credenciales, algo que los investigadores han señalado desde el año pasado y que ahora parece haberse materializado con el troyano Coyote siendo el primero en utilizar esta técnica en un entorno real.
