Παραλλαγή κακόβουλου λογισμικού Coyote
Το trojan τραπεζικών συναλλαγών των Windows, γνωστό ως Coyote, αναδύθηκε ως το πρώτο στέλεχος κακόβουλου λογισμικού που παρατηρήθηκε να καταχράται το πλαίσιο προσβασιμότητας των Windows, UI Automation (UIA), για την κλοπή ευαίσθητων δεδομένων χρηστών. Αρχικά αποκαλύφθηκε από ερευνητές κυβερνοασφάλειας το 2024, το Coyote στοχεύει κυρίως Βραζιλιάνους χρήστες και έχει εξελιχθεί για να ενσωματώσει μια νέα τεχνική που αξιοποιεί το UIA για τη συλλογή διαπιστευτηρίων που συνδέονται με ένα ευρύ φάσμα τραπεζικών πλατφορμών και πλατφορμών κρυπτονομισμάτων.
Πίνακας περιεχομένων
Νόμιμα Εργαλεία που Έγιναν Κακόβουλα
Το UIA αποτελεί μέρος του Microsoft .NET Framework και σχεδιάστηκε αρχικά για να βοηθά τις βοηθητικές τεχνολογίες, όπως τα προγράμματα ανάγνωσης οθόνης, να αλληλεπιδρούν με στοιχεία διεπαφής χρήστη σε εφαρμογές επιφάνειας εργασίας. Ωστόσο, οι δυνατότητές του έχουν αποδειχθεί δίκοπο μαχαίρι. Τον Δεκέμβριο του 2024, ειδικοί ασφαλείας παρουσίασαν μια απόδειξη της ιδέας που αποδεικνύει ότι το UIA θα μπορούσε ενδεχομένως να αξιοποιηθεί για κλοπή δεδομένων και μη εξουσιοδοτημένη εκτέλεση κώδικα.
Τώρα, η Coyote έχει θέσει τη θεωρία σε εφαρμογή. Όπως και τα trojan τραπεζικών προγραμμάτων Android που κάνουν κακή χρήση των υπηρεσιών προσβασιμότητας για να καταγράψουν ευαίσθητες πληροφορίες, η Coyote χειραγωγεί την UIA για να πλοηγηθεί σε στοιχεία της εφαρμογής και να εξαγάγει πολύτιμα διαπιστευτήρια.
Πώς το κογιότ κυνηγάει δεδομένα
Το trojan ξεκινά τη διαδικασία συλλογής δεδομένων χρησιμοποιώντας το API GetForegroundWindow() των Windows για να προσδιορίσει ποιο παράθυρο είναι ενεργό τη δεδομένη στιγμή. Στη συνέχεια, συγκρίνει τον τίτλο αυτού του παραθύρου με μια λίστα που περιέχει τις διευθύνσεις ιστού 75 στοχευμένων τραπεζών και ανταλλακτηρίων κρυπτονομισμάτων, ένας αριθμός που έχει αυξηθεί από 73 στόχους στις αρχές του 2025.
Εάν ο τίτλος του παραθύρου δεν ταιριάζει με καμία καταχώρηση στη λίστα, το Coyote αλλάζει τακτική. Χρησιμοποιεί UIA για να αναλύσει τα θυγατρικά στοιχεία της διεπαφής του ενεργού παραθύρου, προσπαθώντας να εντοπίσει καρτέλες προγράμματος περιήγησης ή γραμμές διευθύνσεων. Το περιεχόμενο αυτών των στοιχείων UI ελέγχεται ξανά σε σχέση με την ίδια λίστα-στόχο.
Επεκτεινόμενες Δυνατότητες και Χαρακτηριστικά Stealth
Το Coyote είναι εξοπλισμένο με πρόσθετες λειτουργίες επιτήρησης, όπως:
- Καταγραφή πληκτρολόγησης για την υποκλοπή πληκτρολογημένων διαπιστευτηρίων
- Λήψη στιγμιότυπου οθόνης για την οπτική καταγραφή της δραστηριότητας του χρήστη
- Επιθέσεις επικάλυψης που μιμούνται νόμιμες σελίδες σύνδεσης τραπεζών
Επιπλέον, το κακόβουλο λογισμικό λειτουργεί αποτελεσματικά τόσο σε online όσο και σε offline λειτουργία, διασφαλίζοντας ότι οι μηχανισμοί συλλογής διαπιστευτηρίων παραμένουν λειτουργικοί ανεξάρτητα από τη συνδεσιμότητα. Αυτή η ευελιξία ενισχύει την ανθεκτικότητά του και διευρύνει την επιφάνεια επίθεσής του.
Γιατί το UIA αλλάζει τα δεδομένα για τους προγραμματιστές κακόβουλου λογισμικού
Συνήθως, η πρόσβαση σε υποστοιχεία μέσα σε μια άλλη εφαρμογή είναι περίπλοκη, απαιτώντας μια εις βάθος κατανόηση του τρόπου με τον οποίο είναι δομημένο το λογισμικό-στόχος. Αξιοποιώντας την UIA, το Coyote παρακάμπτει αυτό το εμπόδιο, αποκτώντας βαθιά ορατότητα στα εσωτερικά στοιχεία του UI των εφαρμογών με ελάχιστη προσπάθεια. Αυτή η δυνατότητα αυξάνει σημαντικά το ποσοστό επιτυχίας της κλοπής διαπιστευτηρίων.
Η αυξανόμενη απειλή για τα οικονομικά δεδομένα
Η υιοθέτηση του UI Automation από κακόβουλο λογισμικό όπως το Coyote σηματοδοτεί μια ανησυχητική εξέλιξη στον τρόπο με τον οποίο τα νόμιμα χαρακτηριστικά του συστήματος οπλίζονται. Με 75 χρηματοπιστωτικά ιδρύματα ήδη στο στόχαστρο και μια σταθερά εξελισσόμενη μεθοδολογία επίθεσης, το Coyote υπογραμμίζει την επείγουσα ανάγκη για βελτιωμένους μηχανισμούς παρακολούθησης και άμυνας κατά της κατάχρησης του πλαισίου προσβασιμότητας.
