Este troyano bancario utiliza herramientas de accesibilidad del sistema operativo para espiar al usuario y robar credenciales financieras.
El malware bancario Coyote ha dado un salto cualitativo en su capacidad de ataque al explotar una funcionalidad aparentemente inocua del sistema operativo: la automatización de accesibilidad de Windows. Detectado por primera vez en Brasil, ya ha comenzado a expandirse a otras regiones, apuntando directamente a plataformas bancarias, billeteras de criptomonedas y servicios de Open Banking.
A diferencia de otros troyanos tradicionales, Coyote no se limita al típico phishing o keylogging. Utiliza la tecnología UI Automation (UIA) de Windows —una herramienta diseñada para ayudar a personas con discapacidad— para acceder a la estructura interna de las ventanas activas, identificar si el usuario ha accedido a un banco o exchange, y capturar datos críticos sin levantar sospechas.
Un troyano que se disfraza de ayuda y actúa con precisión quirúrgica
La amenaza empieza con la descarga de un archivo malicioso, camuflado como acceso directo (.LNK) o utilizando instaladores legítimos como Squirrel. Una vez activo, Coyote lanza una cadena de ejecución compleja con código en Node.js, Nim y .NET, ocultando su rastro mediante cifrado AES.
El corazón del ataque está en su capacidad para identificar bancos mediante la inspección de la interfaz gráfica: si detecta nombres como CaixaBank, Santander, Binance o Electrum, activa sus módulos de robo de información. No necesita intervención del usuario ni permisos elevados; se apoya exclusivamente en funciones estándar del sistema operativo.
Este enfoque no solo elude muchos antivirus, sino que le permite operar silenciosamente incluso cuando el usuario no está conectado a la red.
Cómo protegerse: medidas clave para usuarios y proveedores
Para los usuarios, la protección pasa por evitar archivos sospechosos, mantener el sistema actualizado, utilizar antivirus con detección de comportamiento y, sobre todo, activar la autenticación multifactor (MFA). También es clave desconfiar de ventanas superpuestas, errores visuales o comportamientos inusuales en la interfaz de su banco online.
Para los proveedores de Open Banking, la respuesta debe incluir monitorización avanzada de accesos inusuales al módulo de accesibilidad de Windows, autenticación reforzada, cifrado extremo a extremo y revisiones constantes de seguridad en las APIs.
La sofisticación de Coyote demuestra que los ataques no siempre vienen “desde fuera”. En la nueva era del Open Finance, proteger el entorno del usuario se vuelve tan crucial como blindar los servidores propios.
Sigue toda la información de Open Hub News en Linkedin o en nuestra newsletter.
