عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة متغير برنامج Coyote الخبيث

متغير برنامج Coyote الخبيث

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة
ترجمة الى:

ظهر حصان طروادة مصرفي يعمل بنظام ويندوز، والمعروف باسم "كويوت"، كأول سلالة برمجيات خبيثة تُرصد وهي تستغل إطار عمل إمكانية الوصول في ويندوز، المعروف باسم "أتمتة واجهة المستخدم" (UIA)، لسرقة بيانات المستخدمين الحساسة. كشف باحثو الأمن السيبراني عن "كويوت" لأول مرة عام 2024، وهو يستهدف بشكل أساسي المستخدمين البرازيليين، وقد تطور ليدمج تقنية جديدة تستغل إطار عمل "أتمتة واجهة المستخدم" (UIA) لجمع بيانات الاعتماد المرتبطة بمجموعة واسعة من منصات الخدمات المصرفية والعملات المشفرة.

أدوات مشروعة تحولت إلى أدوات خبيثة

يُعدّ UIA جزءًا من إطار عمل Microsoft .NET، وقد صُمّم في الأصل لمساعدة التقنيات المساعدة، مثل قارئات الشاشة، على التفاعل مع عناصر واجهة المستخدم في تطبيقات سطح المكتب. ومع ذلك، فقد أثبتت قدراته أنها سلاح ذو حدين. في ديسمبر 2024، قدّم خبراء الأمن دليلاً عمليًا يُظهر إمكانية استغلال UIA لسرقة البيانات وتنفيذ التعليمات البرمجية غير المصرح بها.

الآن، طبّق كويوت النظرية عمليًا. على غرار أحصنة طروادة المصرفية على نظام أندرويد التي تستغل خدمات إمكانية الوصول بشكل خاطئ لجمع معلومات حساسة، يتلاعب كويوت بواجهة المستخدم (UIA) للتنقل بين عناصر التطبيق واستخراج بيانات اعتماد قيّمة.

كيف يبحث الذئب عن البيانات

يبدأ حصان طروادة عملية جمع البيانات باستخدام واجهة برمجة تطبيقات ويندوز GetForegroundWindow() لتحديد النافذة النشطة حاليًا. ثم يقارن عنوان تلك النافذة بقائمة مُبرمجة مسبقًا تحتوي على عناوين ويب لـ 75 بنكًا ومنصة تداول عملات رقمية مستهدفة، وهو رقم ارتفع من 73 هدفًا في أوائل عام 2025.

إذا لم يتطابق عنوان النافذة مع أيٍّ من مُدخلات القائمة، يُغيّر Coyote أسلوبه. يستخدم واجهة المستخدم (UIA) لتحليل العناصر الفرعية لواجهة النافذة النشطة، مُحاولًا تحديد علامات تبويب المتصفح أو أشرطة العناوين. يُتحقق من محتوى عناصر واجهة المستخدم هذه مُجددًا باستخدام نفس قائمة الأهداف.

توسيع القدرات وميزات التخفي

تم تجهيز Coyote بوظائف مراقبة إضافية، بما في ذلك:

  • تسجيل ضغطات المفاتيح لاعتراض بيانات الاعتماد المكتوبة
  • التقاط لقطة شاشة لتسجيل نشاط المستخدم بصريًا
  • هجمات التراكب التي تحاكي صفحات تسجيل الدخول المصرفية المشروعة

علاوة على ذلك، يعمل البرنامج الخبيث بفعالية في الوضعين المتصل وغير المتصل بالإنترنت، مما يضمن استمرارية عمل آليات جمع بيانات الاعتماد الخاصة به بغض النظر عن الاتصال. هذه المرونة تعزز استمراريته وتوسع نطاق هجومه.

لماذا يُعد قانون UIA بمثابة تغيير جذري لمطوري البرامج الضارة

عادةً، يُعد الوصول إلى العناصر الفرعية داخل تطبيق آخر أمرًا معقدًا، ويتطلب فهمًا متعمقًا لهيكلية البرنامج المستهدف. باستغلال واجهة المستخدم (UIA)، يتخطى Coyote هذا الحاجز، مكتسبًا رؤيةً عميقةً لمكونات واجهة المستخدم الداخلية للتطبيقات بأقل جهد. تزيد هذه القدرة بشكل كبير من معدل نجاح سرقة بيانات الاعتماد.

التهديد المتزايد للبيانات المالية

يُمثل اعتماد برمجيات خبيثة مثل Coyote لأتمتة واجهة المستخدم تطورًا مُقلقًا في كيفية استغلال ميزات النظام المشروعة. مع وجود 75 مؤسسة مالية في مرمى نيرانه، ومنهجية هجوم متطورة باستمرار، يُسلط Coyote الضوء على الحاجة المُلحة لتحسين آليات المراقبة والدفاع ضد إساءة استخدام إطار عمل إمكانية الوصول.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,931
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...