Una nuova tecnica di malware sfrutta il framework di accessibilità di Windows chiamato UI Automation (UIA) per eseguire attività malevole senza essere individuata dalle soluzioni di rilevamento e risposta degli endpoint (EDR). Questa tecnica, secondo il ricercatore di sicurezza di Akamai, Tomer Peled, può portare all'esecuzione furtiva di comandi che possono raccogliere dati sensibili, reindirizzare i browser a siti di phishing e altro ancora. Un utente deve essere convinto a eseguire un programma che utilizza UI Automation per sfruttare questa tecnica.

Ancora peggiore è la possibilità per gli attaccanti locali di sfruttare questa vulnerabilità per eseguire comandi e leggere o scrivere messaggi da e verso applicazioni di messaggistica come Slack e WhatsApp. Inoltre, potrebbe essere potenzialmente usata per manipolare elementi UI su una rete. Originariamente disponibile in Windows XP come parte del Microsoft .NET Framework, UI Automation è progettato per fornire accesso programmatico a vari elementi dell'interfaccia utente (UI) e aiutare gli utenti a manipolarli utilizzando prodotti di tecnologia assistiva, come i lettori di schermo.

Le interazioni UI con elementi in altre applicazioni sono realizzate utilizzando il Component Object Model (COM) come meccanismo di comunicazione inter-processo (IPC). Ciò consente di creare oggetti UIA che possono essere utilizzati per interagire con un'applicazione che è in primo piano impostando un gestore di eventi che viene attivato quando vengono rilevati determinati cambiamenti UI.

La ricerca di Akamai ha scoperto che questo approccio potrebbe aprire un varco per l'abuso, permettendo agli attori malevoli di leggere/scrivere messaggi, rubare dati inseriti nei siti web (ad esempio, informazioni di pagamento), ed eseguire comandi che reindirizzano le vittime a siti web malevoli quando una pagina web attualmente visualizzata in un browser si aggiorna o cambia. È importante notare che ciascuno di questi scenari malevoli è una caratteristica voluta di UI Automation.

La divulgazione di questa tecnica arriva mentre Deep Instinct ha rivelato che il protocollo DCOM (Distributed COM) Remote Protocol potrebbe essere sfruttato per scrivere da remoto payload personalizzati per creare una backdoor incorporata. L'attacco consente la scrittura di DLL personalizzate su una macchina target, caricandole su un servizio ed eseguendo la loro funzionalità con parametri arbitrari. Tuttavia, questo tipo di attacco lascia chiari indicatori di compromissione che possono essere rilevati e bloccati e richiede che le macchine attaccante e vittima siano nello stesso dominio.