akamai.com - Akamai researchers previously outlined the potential for malicious use of UIA.
Now, Akamai researchers have analyzed a new variant of the Coyote malware that is the first confirmed case of maliciously using Microsoft’s UI Automation (UIA) framework in the wild.
The new Coyote variant is targeting Brazilian users, and uses UIA to extract credentials linked to 75 banking institutes’ web addresses and cryptocurrency exchanges.
To help prevent Coyote infections and UIA abuse more broadly, we’ve included indicators of compromise and additional detection measures in this blog post.
In December 2024, we published a blog post that highlighted how attackers could abuse Microsoft’s UIA framework to steal credentials, execute code, and more. Exploitation was only a proof of concept (PoC) — until now.
Approximately two months after the publication of that blog post, our concerns were validated when a variant of the banking trojan malware Coyote was observed abusing UIA in the wild — marking the first known case of such exploitation.
This UIA abuse is the latest of these malicious Coyote tracks in their digital habitat since its discovery in February 2024.
In this blog post, we take a closer look at the variant to better understand how UIA is being leveraged for malicious purposes, and what it means for defenders.
What is Coyote malware?
Coyote is a well-known malware family that was discovered in February 2024 and has caused significant damage in the Latin America region ever since. Coyote is a trojan malware that employs various malicious techniques, such as keylogging and phishing overlays, to steal banking information.
It uses the Squirrel installer to propagate (hence the name “Coyote,” which pays homage to the coyotes’ nature to hunt squirrels). In one of its most well-known campaigns, Coyote targeted Brazilian companies in an attempt to deploy an information stealing Remote Access Trojan within their systems.
After the initial discovery of Coyote, many security researchers uncovered details of its operations and provided in-depth technical analyses. One such examination, published by Fortinet in January 2025, shed light on Coyote’s internal workings and attack chain.
UIA abuse
We’ve expanded on those analyses and discovered one new key detail: Coyote now leverages UIA as part of its operation. Like any other banking trojan, Coyote is hunting banking information, but what sets Coyote apart is the way it obtains this information, which involves the (ab)use of UIA.
newsroom.orange.com Newsroom Groupe Orange - Le vendredi 25 juillet, le groupe Orange a détecté une cyberattaque sur un de ses systèmes d'information.
Immédiatement alertées, avec le support d'Orange Cyberdefense, les équipes se sont pleinement mobilisées pour isoler les services potentiellement concernés et limiter les impacts.
Cependant, ces opérations d'isolement ont eu pour conséquence de perturber certains services et plateformes de gestion pour une partie de nos clients Entreprises et pour quelques services Grand Public principalement en France. Nos équipes dédiées sont pleinement mobilisées pour informer et accompagner les clients concernés.
Nos équipes ont identifié et mettent en œuvre les solutions qui permettent, sous vigilance renforcée, de rouvrir les principaux services impactés au fur et à mesure d'ici mercredi 30 juillet matin.
Une plainte a été déposée et les autorités compétentes ont été alertées. Nous travaillons avec elles en parfaite collaboration.
A ce stade des investigations, aucun élément ne laisse penser que des données de nos clients ou d'Orange auraient été exfiltrées. La plus haute vigilance sur ce point est maintenue.
Pour des raisons évidentes de sécurité Orange ne fera pas davantage de commentaires.
lesnumeriques.com 25.07 - Orange indique avoir détecté, vendredi 25 juillet dernier, une cyberattaque à son encontre. Des mesures ont été prises immédiatement et l'opérateur fait aujourd'hui le point, notamment sur les conséquences pour ses utilisateurs.
La saison des piratages et autres actes malintentionnés en ligne bat son plein. Après Free en mai dernier notamment, et bien d'autres attaques du genre depuis, c'est au tour d'Orange d'être ciblé. Le groupe, par voie de communiqué de presse ce lundi 28 juillet, a indiqué avoir été victime d'une attaque informatique vendredi 25 juillet 2025. Maintenant que le weekend est passé, la firme revient sur cet événement, dont le plus gros semble derrière elle, malgré des investigations toujours en cours.
Cyberattaque d'Orange : des perturbations, mais pas de perte de données
Première information : c'est l'un des systèmes d'information d'Orange qui a été visé par les hackers. Orange indique que ses équipes et celles d'Orange Cyberdefense ont été immédiatement alertées et mobilisées pour isoler les services concernés. Cette opération d'isolement pour limiter les impacts à d'autres systèmes a cependant eu des conséquences directes pour certains usagers, dont certains services ont pu être perturbés. En conséquence, les clients Entreprises et certains dans la branche Grand Public peuvent donc rencontrer des soucis avec leurs services ces derniers jours. Orange indique rouvrir progressivement les éléments concernés d'ici au mercredi 30 juillet. Pour éviter tout problème, cette réouverture se fait sous surveillance renforcée.
Un retour à la normale pour bientôt
La bonne nouvelle, c'est qu'au stade actuel des investigations, "aucun élément ne laisse penser que des données de nos clients ou d'Orange auraient été exfiltrées." La vigilance reste cependant de mise, puisque nous n'en sommes qu'au début de ce nouvel épisode de piratage. Orange se refuse d'ailleurs à donner plus de détails sur l'attaque par raison de sécurité. En attendant, une plainte a été déposée par le groupe auprès des autorités compétentes.Notons enfin que cet événement n'a pas empêché Orange, lors de sa publication trimestrielle ce matin, de rehausser ses objectifs annuels pour 2025 de 3 % après un solide premier semestre.
