Malware usa recurso do Windows para roubar dados bancários de brasileiros

29/08/2025 mindsecblog Notícias 0

Trojan Coyote explora sistema de acessibilidade para furtar credenciais de acesso a instituições financeiras e carteiras de criptomoedas

Usuários brasileiros de 75 instituições financeiras, entre bancos e câmbios de criptomoedas, estão na mira de uma nova variante do trojan Coyote, que explora um recurso de acessibilidade do Windows para roubar credenciais bancárias ou de carteiras digitais. A campanha de ataques foi descoberta por pesquisadores da Akamai, empresa especializada em cibersegurança e soluções em nuvem, e se aproveita de uma tecnologia presente em praticamente todas as versões do sistema operacional.

Disponível desde o Windows XP, o UIA (User Interface Automation) é capaz de ler a tela, aumentar o tamanho do texto ou executar cliques automaticamente, entre outras ações de acessibilidade, o que também o transforma em uma arma poderosa para os cibercriminosos. É por meio do recurso que os cibercriminosos manipulam páginas na web para roubar os dados sem que as vítimas percebam.

Após a infecção do dispositivo, o malware envia informações como nome de usuário, atributos do sistema operacional e detalhes do computador a um servidor de comando e controle. Na sequência, passa a analisar as páginas visitadas pela vítima. Mesmo sem login direto em sites bancários, o Coyote é capaz de identificar abas abertas ou elementos visuais associados a instituições financeiras e plataformas de criptoativos, como Bradesco, Banco do Brasil, Santander, Caixa, Binance e Mercado Bitcoin, entre outras.

Quando identifica um alvo, o Coyote pode agir de diferentes maneiras, manipulando componentes exibidos na tela ou realizando cliques não autorizados para redirecionar as vítimas a páginas maliciosas. O objetivo final é induzir à digitação de senhas, informações de cartão de crédito e outros dados financeiros que são enviados diretamente aos golpistas.

“A Akamai previa o uso do Windows UIA em ataques desde dezembro do ano passado, mas esta foi a primeira vez que efetivamente localizamos uma utilização maliciosa do recurso”, aponta Rubens Waberski, Solutions Engineering Manager na Akamai Technologies. “O Coyote age contra usuários da América Latina desde fevereiro de 2024 e a nova variante mostra como os desenvolvedores cibercriminosos seguem aplicando novas técnicas às suas criações maliciosas. O uso de um recurso amplamente disponível expande significativamente a superfície de ataque do malware.”

Monitoramento é chave para proteção

De acordo com os especialistas da Akamai, o monitoramento constante de processos nos dispositivos é a chave para detectar o comprometimento do recurso de acessibilidade do Windows. Mais especificamente, administradores devem prestar atenção ao uso do UIAutomationCore.dll, um processo que deve levantar preocupações se carregado a elementos do sistema operacional sem ordem do usuário.

Conexões abertas pelo UIA também devem ser monitoradas e ajudam a identificar o uso malicioso da solução para contato com servidores de controle. Soluções de segurança como o Akamai Hunt, o serviço de caça a ameaças gerenciado da empresa, já oferecem proteção contra estas e outras variantes, emitindo alertas caso o uso não autorizado da tecnologia seja identificado.

“Os malwares estão evoluindo constantemente, criando um jogo de gato e rato contínuo entre cibercriminosos e os times especializados em segurança”, completa Rubens Waberski, Solutions Engineering Manager na Akamai Technologies. “Os sistemas de usabilidade do Windows são ferramentas inofensivas e de grande importância. Porém, elas também devem se tornar um vetor de ataques que exigirá atenção, com o uso destas capacidades levantando um alerta importante e exigindo que as organizações estejam sempre preparadas a ameaças emergentes, que podem vir de origens inéditas.”

Posturas proativas que envolvem o uso de antivírus e o monitoramento de downloads, assim como o acesso a sites e serviços suspeitos, também ajudam a evitar infecções desse tipo. Os indicadores de comprometimento e demais detalhes técnicos das ações da nova variação do malware Coyote estão disponíveis no blog da Akamai.

Sobre a Akamai

A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicações empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor necessárias para expandir os negócios com confiança. Saiba mais em akamai.com/pt e akamai.com/pt/blog, ou siga a Akamai Technologies no X e no LinkedIn.