Noticias Encuentros A Fondo Opinión Entrevistas Casos de éxito Vídeos Administración Pública Guía TIC Premios Computing

INFORMES

Coyote, el primer malware que explota la automatización de interfaz de usuario de Microsoft

Home Seguridad
Dirección copiada

Akamai alerta sobre Coyote que utiliza el marco de automatización de la interfaz de usuario (UIA) de Microsoft para extraer credenciales de 75 entidades financieras y plataformas de criptomonedas

Publicado el 28 jul 2025
COYOTE

PREGUNTAS FRECUENTES
1. ¿Qué es UIA y por qué es importante en este caso?
UIA (User Interface Automation) es un framework de Microsoft que permite a programas interactuar con la interfaz gráfica de otras aplicaciones. Aunque está pensado para mejorar la accesibilidad y automatización, el malware Coyote lo ha utilizado para espiar a los usuarios y robar credenciales sin necesidad de técnicas tradicionales como keyloggers o inyecciones de código.
2. ¿Cómo utiliza el malware Coyote la UIA para robar datos?
Coyote aprovecha la UIA para inspeccionar los elementos visibles de las ventanas activas (como campos de texto o barras de direcciones) y buscar coincidencias con una lista de 75 entidades bancarias y exchanges de criptomonedas. Si encuentra coincidencias, extrae las credenciales del usuario.
3. ¿Por qué es difícil detectar este tipo de ataque?
Porque Coyote usa APIs legítimas de Windows para interactuar con otras aplicaciones. No necesita modificar archivos del sistema ni inyectar código, lo que le permite evadir muchas soluciones tradicionales de seguridad como antivirus o EDR.
4. ¿Qué tipo de usuarios están en riesgo?
Principalmente, usuarios brasileños, ya que esta variante de Coyote se ha diseñado con instituciones financieras y criptográficas de Brasil como objetivo. Sin embargo, su método puede ser adaptado fácilmente a otros países si los atacantes modifican la lista de objetivos.
5. ¿Cómo se puede prevenir o detectar el abuso de UIA por parte de malware?
Se recomienda:
Monitorizar el uso anómalo de la librería UIAutomationCore.dll.
Revisar procesos que interactúan de forma inusual con elementos de interfaz ajenos.
Implementar herramientas de seguridad avanzadas que detecten comportamientos sospechosos, no solo firmas de malware.

El malware Coyote evoluciona y se vuelve más sigiloso

Desde su aparición en febrero de 2024, Coyote ha sido una amenaza activa en Brasil, centrando sus ataques en entidades bancarias y exchanges. Ahora, esta nueva variante da un paso más: aprovecha el framework UIA de Microsoft —originalmente diseñado para facilitar la accesibilidad y automatización— como vector de espionaje y extracción de información.

¿Cómo abusa Coyote del framework UIA?

Según explican investigadores de Akamai, el malware emplea técnicas tradicionales, como obtener la ventana activa con GetForegroundWindow() para identificar aplicaciones financieras. Pero si no encuentra coincidencias, activa un segundo nivel de análisis con UIA, rastreando elementos secundarios de la interfaz —como barras de dirección o pestañas del navegador— para detectar posibles objetivos.

Esta es la primera vez que se observa un malware utilizando UIA en ataques reales, lo que representa un desafío importante para los sistemas de detección actuales, ya que este tipo de abuso es difícil de identificar con herramientas convencionales.

La nueva variante de Coyote tiene como objetivo 75 instituciones financieras y plataformas de criptoactivos, lo que indica una campaña masiva y altamente dirigida

INVESTIGADORES DE AKAMAI

Credenciales bancarias y de criptomonedas en riesgo

La nueva variante de Coyote tiene como objetivo 75 instituciones financieras y plataformas de criptoactivos, lo que indica una campaña masiva y altamente dirigida. El malware no solo roba credenciales, sino que también recopila datos del sistema de la víctima, incluyendo nombre de usuario, equipo y software en ejecución, que luego envía a su servidor de comando y control (C2).

Indicadores de compromiso y medidas de defensa

Los investigadores han publicado indicadores de compromiso (IoCs) clave para detectar infecciones activas, incluyendo el uso de tuberías con nombre específicas asociadas a UIAutomationCore.dll. Además, recomiendan actualizar las estrategias de detección y considerar el monitoreo de llamadas UIA inusuales como parte de los mecanismos de defensa avanzados.

Implicaciones para el futuro de la ciberseguridad

El abuso del marco UIA por parte de Coyote abre la puerta a una nueva clase de ataques sigilosos, basados en funcionalidades legítimas del sistema. Esto plantea serios desafíos para los equipos de seguridad, que deberán evolucionar sus herramientas y enfoques para enfrentar este tipo de amenazas.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Leer también:

Temas

Canales

Artículos relacionados

  • La computación cuántica y su impacto en el futuro

  • noticias

    Computación cuántica: el motor de la próxima revolución tecnológica

    10 Feb 2025

    por Redacción Computing

    Compartir
  • IA cuántica

  • informes

    3 de cada 5 empresas ya están explorando la IA cuántica

    14 Jul 2025

    por Redacción Computing

    Compartir
  • La UE ha activado la supervisión y las sanciones sobre la inteligencia artificial

  • Adminisración pública

    La UE ha activado la supervisión y las sanciones sobre la inteligencia artificial

    29 Ago 2025

    por Carlos Marcos Venegas

    Compartir
  • Mujeres Directivas

  • VÍDEOS

    Mujeres Directivas 2025

    14 Abr 2025

    por Redacción Computing

    Compartir