Coyote Malware-variant
Windows-banktrojanen kendt som Coyote er dukket op som den første malware-stamme, der er observeret, når den misbruger Windows-tilgængelighedsrammeværket, UI Automation (UIA), til at stjæle følsomme brugerdata. Coyote, der oprindeligt blev afsløret af cybersikkerhedsforskere i 2024, er primært rettet mod brasilianske brugere og har udviklet sig til at integrere en ny teknik, der udnytter UIA til at indsamle legitimationsoplysninger knyttet til en bred vifte af bank- og kryptovalutaplatforme.
Indholdsfortegnelse
Legitime værktøjer blev ondsindede
UIA er en del af Microsoft .NET Framework og blev oprindeligt designet til at hjælpe hjælpeteknologier, såsom skærmlæsere, med at interagere med brugergrænsefladeelementer i desktopapplikationer. Dens funktioner har dog vist sig at være et tveægget sværd. I december 2024 præsenterede sikkerhedseksperter et proof-of-concept, der demonstrerede, at UIA potentielt kunne udnyttes til datatyveri og uautoriseret kodeudførelse.
Nu har Coyote omsat teori til praksis. Ligesom Android-banktrojanere, der misbruger tilgængelighedstjenester til at indsamle følsomme oplysninger, manipulerer Coyote UIA til at navigere i applikationselementer og udtrække værdifulde legitimationsoplysninger.
Hvordan prærieulven jagter data
Trojaneren begynder sin dataindsamlingsproces ved at bruge GetForegroundWindow() Windows API til at bestemme, hvilket vindue der er aktivt i øjeblikket. Derefter sammenligner den titlen på det pågældende vindue med en hardcodet liste, der indeholder webadresserne på 75 målrettede banker og kryptovalutabørser, et tal der er vokset fra 73 mål i begyndelsen af 2025.
Hvis vinduets titel ikke matcher nogen af elementerne på listen, skifter Coyote taktik. Den bruger UIA til at analysere underelementerne i det aktive vindues brugerflade og forsøger at finde browserfaner eller adresselinjer. Indholdet af disse brugergrænsefladeelementer kontrolleres igen mod den samme målliste.
Udvidelse af muligheder og skjulte funktioner
Coyote er udstyret med yderligere overvågningsfunktioner, herunder:
- Tastetrykslogning for at opfange indtastede legitimationsoplysninger
- Skærmbilledeoptagelse for visuel optagelse af brugeraktivitet
- Overlay-angreb, der efterligner legitime banklogin-sider
Derudover fungerer malwaren effektivt både online og offline, hvilket sikrer, at dens mekanismer til indsamling af legitimationsoplysninger forbliver operationelle uanset forbindelse. Denne fleksibilitet forbedrer dens persistens og udvider dens angrebsflade.
Hvorfor UIA er banebrydende for malwareudviklere
Normalt er det komplekst at få adgang til underelementer i en anden applikation og kræver en dybdegående forståelse af, hvordan målsoftwaren er struktureret. Ved at udnytte UIA omgår Coyote denne barriere og får dyb indsigt i applikationers interne brugergrænsefladekomponenter med minimal indsats. Denne evne øger succesraten for legitimationsoplysninger betydeligt.
Den voksende trussel mod finansielle data
Indførelsen af UI-automatisering af malware som Coyote markerer en bekymrende udvikling i, hvordan legitime systemfunktioner bliver brugt som våben. Med 75 finansielle institutioner allerede i sit sigtekorn og en støt avanceret angrebsmetode fremhæver Coyote det presserende behov for forbedrede overvågnings- og forsvarsmekanismer mod misbrug af tilgængelighedsrammer.
