Вариант на зловреден софтуер Coyote
Троянският кон за банкиране на Windows, известен като Coyote, се очерта като първият щам на зловреден софтуер, наблюдаван при злоупотреба с рамката за достъпност на Windows, UI Automation (UIA), за да краде чувствителни потребителски данни. Първоначално разкрит от изследователи по киберсигурност през 2024 г., Coyote е насочен предимно към бразилски потребители и е еволюирал, за да интегрира нова техника, която използва UIA за събиране на идентификационни данни, свързани с широк спектър от банкови и криптовалутни платформи.
Съдържание
Легитимни инструменти, превърнати в злонамерени
UIA е част от Microsoft .NET Framework и първоначално е проектирана да помага на помощни технологии, като например екранни четци, да взаимодействат с елементи на потребителския интерфейс в настолни приложения. Възможностите ѝ обаче се оказаха нож с две остриета. През декември 2024 г. експерти по сигурността представиха доказателство за концепция, демонстриращо, че UIA потенциално може да бъде използвана за кражба на данни и неоторизирано изпълнение на код.
Сега Coyote приложи теорията на практика. Подобно на банковите троянци за Android, които злоупотребяват с услугите за достъпност, за да събират чувствителна информация, Coyote манипулира UIA, за да навигира в елементите на приложението и да извлича ценни идентификационни данни.
Как Койотът търси данни
Троянският кон започва процеса си на събиране на данни, като използва GetForegroundWindow() Windows API, за да определи кой прозорец е активен в момента. След това сравнява заглавието на този прозорец с твърдо кодиран списък, съдържащ уеб адресите на 75 целеви банки и борси за криптовалути, брой, който е нараснал от 73 цели в началото на 2025 г.
Ако заглавието на прозореца не съвпада с нито един запис в списъка, Coyote сменя тактиката. Той използва UIA, за да анализира дъщерните елементи на интерфейса на активния прозорец, опитвайки се да намери раздели на браузъра или адресни ленти. Съдържанието на тези елементи на потребителския интерфейс отново се проверява спрямо същия целеви списък.
Разширяване на възможностите и стелт функциите
Койотът е оборудван с допълнителни функции за наблюдение, включително:
- Регистриране на натискане на клавиши за прихващане на въведени идентификационни данни
- Заснемане на екранна снимка за визуално записване на потребителската активност
- Наслагващи атаки, които имитират легитимни банкови страници за вход
Освен това, зловредният софтуер функционира ефективно както онлайн, така и офлайн режим, гарантирайки, че механизмите му за събиране на идентификационни данни остават оперативни, независимо от свързаността. Тази гъвкавост повишава неговата устойчивост и разширява повърхността му за атака.
Защо UIA променя играта за разработчиците на зловреден софтуер
Обикновено достъпът до поделементи в друго приложение е сложен и изисква задълбочено разбиране на структурата на целевия софтуер. Чрез използването на UIA, Coyote заобикаля тази бариера, като получава задълбочена видимост във вътрешните компоненти на потребителския интерфейс на приложенията с минимални усилия. Тази способност значително увеличава процента на успех при кражба на идентификационни данни.
Нарастващата заплаха за финансовите данни
Възприемането на автоматизацията на потребителския интерфейс от зловреден софтуер като Coyote бележи тревожна еволюция в начина, по който легитимни системни функции се превръщат в оръжие. С 75 финансови институции, които вече са в мерника им, и постоянно развиваща се методология за атака, Coyote подчертава спешната нужда от подобрен мониторинг и защитни механизми срещу злоупотреба с рамката за достъпност.
