Varianta malwaru Coyote
Bankovní trojan systému Windows známý jako Coyote se ukázal jako první pozorovaný kmen malwaru, který zneužívá framework pro přístupnost systému Windows, UI Automation (UIA), ke krádeži citlivých uživatelských dat. Coyote, původně odhalený výzkumníky v oblasti kybernetické bezpečnosti v roce 2024, cílí primárně na brazilské uživatele a vyvinul se tak, že integruje novou techniku, která využívá UIA ke shromažďování přihlašovacích údajů propojených s širokou škálou bankovních a kryptoměnových platforem.
Obsah
Legitimní nástroje se staly škodlivými
UIA je součástí frameworku Microsoft .NET Framework a původně byl navržen tak, aby pomohl asistenčním technologiím, jako jsou čtečky obrazovky, interagovat s prvky uživatelského rozhraní v desktopových aplikacích. Jeho schopnosti se však ukázaly jako dvousečná zbraň. V prosinci 2024 bezpečnostní experti představili koncept, který prokázal, že UIA by mohla být potenciálně zneužita ke krádeži dat a neoprávněnému spuštění kódu.
Coyote nyní uvedl teorii do praxe. Podobně jako bankovní trojské koně pro Android, které zneužívají služby přístupnosti k zachycení citlivých informací, Coyote manipuluje s UIA k navigaci v prvcích aplikace a získávání cenných přihlašovacích údajů.
Jak kojot loví data
Trojan zahajuje proces sběru dat pomocí rozhraní GetForegroundWindow() Windows API, aby určil, které okno je aktuálně aktivní. Poté porovnává název daného okna s pevně zakódovaným seznamem obsahujícím webové adresy 75 cílových bank a kryptoměnových burz, což je počet, který vzrostl ze 73 cílů na začátku roku 2025.
Pokud název okna neodpovídá žádné položce v seznamu, Coyote změní taktiku. Pomocí UIA prochází podřízené prvky rozhraní aktivního okna a pokouší se najít karty prohlížeče nebo adresní řádky. Obsah těchto prvků uživatelského rozhraní je znovu porovnán se stejným cílovým seznamem.
Rozšiřování schopností a funkcí Stealth
Coyote je vybaven dalšími sledovacími funkcemi, včetně:
- Protokolování stisků kláves pro zachycení zadaných přihlašovacích údajů
- Pořizování snímků obrazovky pro vizuální záznam aktivity uživatele
- Překryvné útoky, které napodobují legitimní přihlašovací stránky do bankovnictví
Malware navíc efektivně funguje v online i offline režimu, což zajišťuje, že jeho mechanismy pro sběr přihlašovacích údajů zůstanou funkční bez ohledu na připojení. Tato flexibilita zvyšuje jeho odolnost a rozšiřuje jeho útočný povrch.
Proč UIA mění pravidla hry pro vývojáře malwaru
Přístup k dílčím prvkům v jiné aplikaci je obvykle složitý a vyžaduje hluboké pochopení struktury cílového softwaru. Využitím UIA Coyote tuto bariéru obchází a s minimálním úsilím získává hluboký vhled do interních komponent uživatelského rozhraní aplikací. Tato schopnost výrazně zvyšuje úspěšnost krádeže přihlašovacích údajů.
Rostoucí hrozba pro finanční data
Přijetí automatizace uživatelského rozhraní malwarem, jako je Coyote, představuje znepokojivý vývoj v tom, jak jsou legitimní systémové funkce zneužívány jako zbraň. Vzhledem k tomu, že Coyote je již v hledáčku 75 finančních institucí a neustále se rozvíjející metodologii útoku, zdůrazňuje naléhavou potřebu lepšího monitorování a obranných mechanismů proti zneužívání rámce pro přístupnost.
