Coyote'i pahavara variant
Windowsi pangandustrooja, tuntud kui Coyote, on esimene pahavara tüvi, mis on Windowsi ligipääsetavuse raamistikku UI Automation (UIA) kuritarvitanud tundlike kasutajaandmete varastamiseks. Küberturvalisuse uurijate poolt 2024. aastal esmakordselt paljastatud Coyote on suunatud peamiselt Brasiilia kasutajatele ning on arenenud integreerima uudset tehnikat, mis kasutab UIA-d paljude pangandus- ja krüptovaluutaplatvormidega seotud volituste kogumiseks.
Sisukord
Seaduslikud tööriistad muutusid pahatahtlikeks
UIA on osa Microsoft .NET Frameworkist ja see oli algselt loodud abitehnoloogiate, näiteks ekraanilugerite, abistamiseks töölauarakenduste kasutajaliidese elementidega. Selle võimalused on aga osutunud kahe teraga mõõgaks. 2024. aasta detsembris esitlesid turvaeksperdid kontseptsiooni tõestust, mis näitas, et UIA-d saab potentsiaalselt ära kasutada andmete varguseks ja volitamata koodi käivitamiseks.
Nüüd on Coyote teooria praktikasse rakendanud. Sarnaselt Androidi pangandustroojalastega, kes kuritarvitavad ligipääsetavuse teenuseid tundliku teabe jäädvustamiseks, manipuleerib Coyote kasutajaliidesega (UIA), et navigeerida rakenduse elementides ja hankida väärtuslikke volitusi.
Kuidas koiott andmeid otsib
Trooja alustab andmete kogumise protsessi, kasutades GetForegroundWindow() Windowsi API-t, et teha kindlaks, milline aken on hetkel aktiivne. Seejärel võrdleb see akna pealkirja kõvakodeeritud loendiga, mis sisaldab 75 sihtmärgiks oleva panga ja krüptovaluutabörsi veebiaadresse – see arv on kasvanud 73 sihtmärgilt 2025. aasta alguses.
Kui akna pealkiri ei vasta ühelegi loendis olevale kirjele, vahetab Coyote taktikat. See kasutab UIA-d aktiivse akna liidese alamelementide läbisõtlemiseks, püüdes leida brauseri vahekaarte või aadressiribasid. Nende kasutajaliidese elementide sisu kontrollitakse uuesti sama sihtloendi suhtes.
Laiendatavad võimalused ja varjatud funktsioonid
Coyote on varustatud täiendavate valvefunktsioonidega, sealhulgas:
- Klahvivajutuste logimine sisestatud volituste pealtkuulamiseks
- Ekraanipildi jäädvustamine kasutaja tegevuse visuaalseks jäädvustamiseks
- Kattekihirünnakud, mis matkivad seaduslikke pangandussisselogimislehti
Lisaks toimib pahavara tõhusalt nii võrguühenduseta kui ka võrguühenduseta režiimis, tagades, et selle volituste kogumise mehhanismid jäävad toimivaks olenemata ühenduvusest. See paindlikkus suurendab selle püsivust ja laiendab rünnakupinda.
Miks UIA on pahavara arendajate jaoks pöördepunkt?
Tavaliselt on teise rakenduse alamelementidele juurdepääs keeruline, mis nõuab põhjalikku arusaamist sihttarkvara struktuurist. UIA ärakasutamise abil saab Coyote sellest barjäärist mööda, saavutades minimaalse pingutusega sügava ülevaate rakenduste sisemistest kasutajaliidese komponentidest. See võime suurendab oluliselt volituste varguse edukust.
Kasvav oht finantsandmetele
Kasutajaliidese automatiseerimise kasutuselevõtt pahavara, näiteks Coyote'i poolt, tähistab murettekitavat arengut selles, kuidas legitiimseid süsteemifunktsioone relvana kasutatakse. Arvestades, et Coyote'i sihtmärgiks on juba 75 finantsasutust ja pidevalt arenev rünnakumetoodika, rõhutab see tungivat vajadust paremate seire- ja kaitsemehhanismide järele ligipääsetavuse raamistiku kuritarvitamise vastu.
