Malware Coyote utiliza recurso da Microsoft em ataques a bancos

O trojan bancário Coyote é um malware que utiliza a automação de interface do usuário da Microsoft para atacar sites financeiros, visando principalmente usuários brasileiros. Ele compromete credenciais bancárias e de criptomoedas, afetando instituições como Banco do Brasil e plataformas como Binance.

O trojan bancário conhecido como Coyote usa o framework de automação de interface da Microsoft para identificar sites bancários e de criptomoedas abertos no navegador. Essa técnica permite que o malware cruze dados do navegador com uma lista pré-definida de aplicativos financeiros, aumentando a eficácia dos ataques.

Como o Coyote explora o framework da Microsoft

O trojan bancário Coyote utiliza o UI Automation da Microsoft, uma ferramenta projetada para melhorar a acessibilidade em aplicativos Windows, para realizar suas atividades maliciosas.

Este framework é originalmente utilizado para ajudar softwares a interagir com aplicativos, permitindo que programas “vejam” botões, menus e outros elementos de interface.

Com essa capacidade, o Coyote consegue identificar quais sites bancários e de criptomoedas foram abertos no navegador da vítima.

Ele faz isso ao ler o endereço da web na barra de endereços do navegador e compará-lo com uma lista codificada de serviços financeiros visados.

Se houver uma correspondência, o malware explora a capacidade do UI Automation para analisar os elementos da interface do usuário, buscando identificar quais abas ou barras de endereço estão ativas.

Essa abordagem permite que o Coyote colete informações sensíveis sem que o usuário perceba, aumentando a eficiência do roubo de credenciais e dados financeiros.