AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nueva variante del troyano bancario ‘Coyote’ explota la automatización de accesibilidad de Windows para el robo de credenciales**

admin

### 1. Introducción

En las últimas semanas, investigadores en ciberseguridad han detectado una variante avanzada del troyano bancario ‘Coyote’, que introduce tácticas inéditas para el robo de credenciales financieras y de criptomonedas. Este malware, centrado en dispositivos Windows, ha evolucionado para explotar el framework de automatización de interfaces de usuario (UI Automation) —originalmente una función de accesibilidad— con el objetivo de monitorizar el acceso a plataformas bancarias y de intercambio de criptodivisas. La sofisticación y sigilo de esta técnica representan un nuevo desafío para los equipos de defensa y respuesta ante incidentes.

### 2. Contexto del Incidente o Vulnerabilidad

‘Coyote’ es un troyano bancario relativamente reciente en el panorama de amenazas, identificado por primera vez en 2023 y dirigido principalmente a usuarios de América Latina y Europa. En su última campaña, el malware ha ampliado su alcance a instituciones financieras globales y exchanges de criptomonedas. A diferencia de otras familias como ‘Grandoreiro’ o ‘Mekotio’, Coyote prioriza la evasión de soluciones de seguridad y la persistencia en el host comprometido.

El aspecto más preocupante de esta variante es el abuso de la API de UI Automation de Windows, una herramienta creada para facilitar la accesibilidad a usuarios con discapacidades, pero que ha sido aprovechada por actores maliciosos para observar y manipular interacciones con aplicaciones críticas sin levantar sospechas.

### 3. Detalles Técnicos

#### 3.1. CVE y vectores de ataque

Aunque actualmente no existe una CVE específica asociada a esta técnica, el abuso de UI Automation se considera un vector emergente y de difícil detección, catalogable bajo la técnica MITRE ATT&CK T1056.002 (Input Capture: GUI Input Capture).

#### 3.2. TTPs y funcionamiento

La variante analizada despliega los siguientes TTPs:

– **Vector de entrega**: Correos electrónicos de phishing con documentos adjuntos maliciosos (generalmente archivos Excel con macros o instaladores MSI).
– **Persistencia**: Modificación de claves de registro para ejecución tras reinicio.
– **Abuso de UI Automation**: El malware utiliza la librería `uiautomationcore.dll` para espiar los elementos de la interfaz gráfica (ventanas, botones, campos de texto) de los navegadores web, identificando patrones asociados a entidades bancarias y exchanges de criptomonedas.
– **Exfiltración**: Las credenciales interceptadas, tokens de sesión y otros datos sensibles se envían a servidores C2 mediante canales cifrados.
– **Evación**: Técnicas de inyección en procesos legítimos y uso de empaquetadores personalizados para dificultar la detección por EDR y antivirus.

#### 3.3. Indicadores de compromiso (IoC)

– Hashes de archivos maliciosos, nombres como `uiautomationcore.dll` modificados.
– Dominios y direcciones IP de C2 recientemente detectados: `coyote-botnet[.]top`, `185.225.73[.]244`.
– Claves de registro inusuales en `HKCUSoftwareMicrosoftWindowsCurrentVersionRun`.

#### 3.4. Herramientas utilizadas

Se ha observado uso de frameworks como Metasploit para la entrega y Cobalt Strike para el control post-explotación en campañas avanzadas.

### 4. Impacto y Riesgos

La explotación de UI Automation permite a Coyote operar bajo el radar de la mayoría de las soluciones de seguridad tradicionales. Los riesgos principales incluyen:

– **Robo de credenciales bancarias y de criptomonedas**: Interceptación directa de usuario y contraseña, así como OTP y tokens de acceso.
– **Suplantación de identidad**: Uso de las credenciales para transferencias fraudulentas y lavado de activos.
– **Impacto económico**: Pérdidas directas para clientes, posibles multas regulatorias bajo GDPR y NIS2 por filtración de datos personales.
– **Compromiso de infraestructura**: El acceso a cuentas privilegiadas puede derivar en movimientos laterales y ataques a la red corporativa.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar este riesgo, se recomienda:

– **Desactivar o restringir el UI Automation Framework** en sistemas donde no sea estrictamente necesario.
– **Actualizar soluciones EDR y antivirus** para detectar comportamientos anómalos asociados al abuso de APIs de accesibilidad.
– **Monitorizar procesos sospechosos** que carguen `uiautomationcore.dll` fuera de su contexto legítimo.
– **Formación continua** a usuarios sobre ataques de phishing y descarga de archivos.
– **Aplicación de MFA** en todos los servicios bancarios y de criptomonedas.
– **Revisión de logs de acceso** y correlación de eventos inusuales en navegadores y aplicaciones financieras.

### 6. Opinión de Expertos

Analistas de amenazas de firmas como Kaspersky y ESET advierten que el abuso de funciones de accesibilidad representa una tendencia al alza, ya que estas APIs suelen estar menos monitorizadas por soluciones de seguridad convencionales. Según el investigador Matías Porolli, “estamos viendo una profesionalización de las campañas, donde los actores de amenazas buscan vectores menos evidentes y más persistentes”.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones financieras y plataformas de criptomonedas, la sofisticación de Coyote exige un enfoque proactivo en la protección de endpoints y la detección de amenazas. El cumplimiento regulatorio bajo GDPR y NIS2 obliga a implementar controles técnicos y organizativos para evitar filtraciones y garantizar la notificación oportuna de incidentes.

Los usuarios finales, tanto consumidores como empleados, se convierten en el eslabón más débil si no se refuerza la concienciación y no se adoptan medidas como el uso de contraseñas robustas, MFA y la verificación de la legitimidad de los correos recibidos.

### 8. Conclusiones

La adopción de técnicas de abuso de accesibilidad por parte del troyano Coyote marca una nueva etapa en la evolución del malware bancario. La invisibilidad y el sigilo que proporciona el uso de UI Automation plantea serios retos para la defensa, especialmente en entornos donde la accesibilidad es un requisito. Es fundamental que los profesionales de ciberseguridad actualicen sus estrategias de detección, refuercen la vigilancia de procesos anómalos y eduquen a los usuarios sobre las nuevas amenazas emergentes.

(Fuente: www.bleepingcomputer.com)