O trojan bancário Coyote é um malware que utiliza a automação de interface do usuário da Microsoft para atacar sites financeiros, visando principalmente usuários brasileiros. Ele compromete credenciais bancárias e de criptomoedas, afetando instituições como Banco do Brasil e plataformas como Binance.
O trojan bancário conhecido como Coyote usa o framework de automação de interface da Microsoft para identificar sites bancários e de criptomoedas abertos no navegador. Essa técnica permite que o malware cruze dados do navegador com uma lista pré-definida de aplicativos financeiros, aumentando a eficácia dos ataques.
Como o Coyote explora o framework da Microsoft
O trojan bancário Coyote utiliza o UI Automation da Microsoft, uma ferramenta projetada para melhorar a acessibilidade em aplicativos Windows, para realizar suas atividades maliciosas.
Este framework é originalmente utilizado para ajudar softwares a interagir com aplicativos, permitindo que programas “vejam” botões, menus e outros elementos de interface.
Com essa capacidade, o Coyote consegue identificar quais sites bancários e de criptomoedas foram abertos no navegador da vítima.
Ele faz isso ao ler o endereço da web na barra de endereços do navegador e compará-lo com uma lista codificada de serviços financeiros visados.
Se houver uma correspondência, o malware explora a capacidade do UI Automation para analisar os elementos da interface do usuário, buscando identificar quais abas ou barras de endereço estão ativas.
Essa abordagem permite que o Coyote colete informações sensíveis sem que o usuário perceba, aumentando a eficiência do roubo de credenciais e dados financeiros.