O cenário da cibersegurança volta a ser tema de destaque com a descoberta de uma variante sofisticada do trojan bancário Coyote. Este malware está a utilizar uma funcionalidade legítima do Windows, a Microsoft UI Automation (UIA), para identificar e atacar utilizadores que acedem a sites de bancos e de criptomoedas. O objetivo é claro: roubar credenciais e colocar em risco a segurança financeira de milhares de pessoas.
A UI Automation é uma framework desenhada pela Microsoft para ajudar tecnologias de assistência, como leitores de ecrã, a interagir com elementos da interface das aplicações. No entanto, esta ferramenta essencial para a acessibilidade está a ser transformada numa arma poderosa nas mãos de cibercriminosos.
Como o Coyote aproveita a UI Automation
O Coyote, originalmente detetado em fevereiro de 2024, já era conhecido pelas suas táticas de keylogging e sobreposições de phishing, visando 75 aplicações bancárias e plataformas de criptomoedas. Agora, evoluiu e passou a abusar da UIA para contornar sistemas de proteção, como soluções de EDR (Endpoint Detection and Response).
Quando abres um site bancário ou de criptomoedas no browser, o malware tenta identificar o serviço pelo título da janela. Caso não consiga, recorre à UI Automation para extrair o endereço web diretamente dos elementos da interface, como separadores ou barra de endereços. Se encontrar uma correspondência com a sua lista de alvos, ativa os mecanismos de roubo de credenciais.
Entre os alvos estão bancos como Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Banco Original, Sicredi, Banco do Nordeste, além de plataformas de criptomoedas como Binance, Electrum, Bitcoin e Foxbit.
O perigo vai além do reconhecimento
Segundo investigadores da Akamai, esta técnica permite ao Coyote identificar os serviços acedidos, mas pode ir mais longe. Uma prova de conceito demonstrou que a UI Automation pode ser explorada para capturar as credenciais introduzidas pelo utilizador nestes sites, aumentando o risco de roubo de dados sensíveis.
O abuso de ferramentas de acessibilidade não é novo no mundo da cibersegurança. No Android, os Serviços de Acessibilidade já são há anos alvo de ataques de malware, obrigando a Google a reforçar as medidas de proteção. Agora, esta ameaça chega ao Windows, um sistema utilizado por milhões de pessoas e empresas em todo o mundo.
Porque deves estar atento a este tipo de ameaças
O Coyote destaca-se pela sua capacidade de contornar defesas tradicionais e explorar funcionalidades desenhadas para ajudar. Esta evolução mostra que os cibercriminosos estão cada vez mais atentos às brechas deixadas por ferramentas legítimas, transformando-as em pontos de entrada para as suas campanhas maliciosas.
Se utilizas serviços bancários online ou plataformas de criptomoedas, é fundamental:
- Manter o sistema operativo e os programas sempre atualizados.
- Evitar instalar software de fontes desconhecidas.
- Utilizar soluções de segurança de confiança.
- Estar atento a comportamentos estranhos do sistema, como pop-ups inesperados ou pedidos de autenticação fora do normal.
A vigilância constante e a adoção de boas práticas digitais são as melhores defesas contra ameaças como o Coyote.
