Pesquisadores de segurança identificaram uma nova técnica que utiliza o framework de acessibilidade UI Automation (UIA) do Windows para realizar atividades maliciosas sem disparar alertas em ferramentas de detecção e resposta a endpoints (EDR). Essa abordagem pode permitir a execução furtiva de comandos, roubo de dados sensíveis, redirecionamento de navegadores para sites de phishing e manipulação de aplicativos como Slack e WhatsApp.
O UI Automation, introduzido no Windows XP como parte do .NET Framework, foi projetado para fornecer acesso programático a elementos de interface do usuário, facilitando o uso de tecnologias assistivas, como leitores de tela. No entanto, a mesma funcionalidade pode ser abusada por atacantes para interagir com aplicativos em execução com privilégios elevados, explorando o mecanismo de comunicação entre processos (IPC) do Component Object Model (COM). Os invasores podem usar o UIA para ler mensagens de aplicativos, roubar informações inseridas em sites (como dados de pagamento) e até mesmo executar comandos remotamente. Como o UIA é um recurso legítimo do sistema, suas permissões elevadas são interpretadas como normais, permitindo que o malware contorne proteções como o Windows Defender.
Essa técnica se assemelha ao abuso da API de serviços de acessibilidade no Android, que frequentemente é explorada por malwares para extrair informações de dispositivos comprometidos. O pesquisador Tomer Peled destacou que “o sistema trata essas ações como funcionalidades, e não como anomalias, seguindo a lógica de um recurso legítimo.” Além disso, outra pesquisa revelou que o protocolo Distributed COM (DCOM) pode ser explorado para criar backdoors em máquinas-alvo. A técnica, chamada “DCOM Upload & Execute,” permite que invasores escrevam payloads personalizados remotamente e os executem como serviços no contexto de uma máquina vítima, potencializando ataques de movimento lateral em redes internas.
