Una nuova variante del trojan bancario Coyote ha iniziato a utilizzare un metodo insolito per tracciare gli utenti Windows: gli aggressori hanno imparato a utilizzare il sistema Microsoft UI Automation (UIA), progettato per le persone con disabilità, per tracciare le visite ai siti di banking e di scambio di criptovalute. Questo consente al malware di raccogliere dati riservati, inclusi login e password, bypassando al contempo i moderni strumenti di sicurezza.

La piattaforma UIA è stata progettata per consentire alle tecnologie assistive, come gli screen reader, di interagire con gli elementi dell’interfaccia utente di Windows. Le applicazioni compatibili con UIA creano un cosiddetto albero di automazione, in cui ogni elemento (pulsante, finestra, scheda) può essere individuato, analizzato e persino controllato dall’esterno tramite un’apposita API. Questa architettura ha permesso di creare soluzioni intuitive per le persone con disabilità. Tuttavia, è stata proprio questa versatilità e potenza ad attirare l’attenzione dei criminali informatici.

Gli esperti di Akamai avevano lanciato l’allarme sul rischio di un attacco di questo tipo già a dicembre 2024. All’epoca, avevano ipotizzato che UIA potesse essere utilizzata per aggirare i sistemi di difesa di classe EDR (Endpoint Detection and Response), poiché il framework era considerato “sicuro” e non destava sospetti negli antivirus. Ma ora, a partire da febbraio 2025, hanno registrato l’effettivo utilizzo di questa vulnerabilità in attacchi attivi. Si tratta del primo caso nella storia in cui un trojan inizia a utilizzare le funzionalità di UIA per rubare informazioni dal computer di una vittima.

Il trojan Coyote è apparso per la prima volta nel febbraio 2024 e da allora è in fase di sviluppo attivo. Prende di mira principalmente utenti brasiliani ed è in grado di rubare credenziali da 75 banche e piattaforme di criptovalute. In precedenza, il suo arsenale includeva metodi classici: keylogging, finestre di login false e intercettazione dei clic. Ma ora, con l’avvento del supporto UIA, il trojan è diventato molto più sofisticato e pericoloso.

Quando un utente apre un browser e visita il sito web di una banca o di un exchange, Coyote cerca innanzitutto di identificarlo tramite il titolo della finestra. Se non trova una corrispondenza, si connette all’albero UIA, estrae gli indirizzi dalle schede e dalla barra degli indirizzi e li confronta con un elenco hard-coded di 75 servizi target. Tra questi, Banco do Brasil, CaixaBank, Santander, Bradesco, nonché i servizi di criptovalute Binance, Electrum, Bitcoin e Foxbit. Se l’indirizzo corrisponde, il modulo spia viene attivato.

La particolarità dell’attacco è che per ora è limitato alla fase di ricognizione: il trojan si limita a monitorare l’interfaccia utente e a verificare se il bersaglio desiderato è aperto. Tuttavia, gli specialisti di Akamai hanno dimostrato che lo stesso meccanismo può essere utilizzato per leggere i dati di input, inclusi login e password. Hanno pubblicato un esempio tecnico che mostra come l’UIA possa essere utilizzata per acquisire il contenuto dei campi di input, ovvero un furto di account a tutti gli effetti.

Al momento della pubblicazione, Microsoft non aveva rilasciato dichiarazioni in merito a eventuali piani per introdurre ulteriori restrizioni o misure di sicurezza contro tali abusi. Tuttavia, la situazione ricorda un problema di lunga data nell’ecosistema Android, dove i servizi di accessibilità vengono sistematicamente utilizzati in modo improprio da app dannose. In risposta a ciò, Google ha introdotto misure di sicurezza da anni, inasprendo i requisiti per le app che accedono all’interfaccia di Accessibilità.

Framework come UIA nascono con buone intenzioni: aiutare le persone con disabilità a usare i computer come tutti gli altri. Ma con lo sviluppo di vettori di attacco non convenzionali da parte degli aggressori, questi potenti meccanismi di sistema stanno diventando sempre più strumenti per la criminalità informatica.

L'articolo Coyote, il trojan che fa la storia! fruttati i sistemi per i disabili per violare i conti bancari proviene da il blog della sicurezza informatica.

The Juno spacecraft was launched towards Jupiter in August of 2011 as part of the New Frontiers series of spacecraft, on what would originally have been a 7-year mission, including a nearly 5 year cruise to the planet. After a mission extension, it’s currently orbiting Jupiter, allowing for many more years of scientific data to be gathered using its instruments. One of these instruments is the JunoCam (JCM), a visible light camera and telescope. Unfortunately the harsh radiation environment around Jupiter had led many to believe that this camera would fail before long. Now it seems that NASA engineers have successfully tested a fix.
Location of the Juno spacecraft’s science instruments.
Although the radiation damage to JCM was obvious a few dozen orbits in – and well past its original mission’s 34 orbits – the big question was exactly was being damaged by the radiation, and whether something could be done to circumvent or fix it. The good news was that the image sensor itself was fine, but one of the voltage regulators in JCM’s power supply was having a bad time. This led the engineers to try annealing the affected part by cranking up one of the JCM’s heaters to a balmy 25°C, well above what it normally is kept at.

This desperate step seemed to work, with massively improved image quality on the following orbits, but soon the images began to degrade again. Before an approach to Jupiter’s moon Io, the engineers thus tried it again but this time cranked the JCM’s heater up to eleven and crossed their fingers. Surprisingly this fixed the issue over the course of a week, until the JCM seems as good as new. Now the engineers are trying their luck with Juno‘s other instruments as well, with it potentially providing a blueprint for extending the life of spacecraft in general.

Thanks to [Mark Stevens] for the tip.

hackaday.com/2025/07/23/anneal…