قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل بدافزار کایوت (Coyote)

بدافزار کایوت (Coyote)

تا Mezo در بدافزار موبایل
ترجمه به:

تروجان بانکی ویندوز که با نام Coyote شناخته می‌شود، به عنوان اولین بدافزار مشاهده شده که از چارچوب دسترسی ویندوز، UI Automation (UIA) برای سرقت داده‌های حساس کاربر سوءاستفاده می‌کند، ظهور کرده است. Coyote که در ابتدا توسط محققان امنیت سایبری در سال ۲۰۲۴ افشا شد، در درجه اول کاربران برزیلی را هدف قرار می‌دهد و به گونه‌ای تکامل یافته است که از یک تکنیک جدید استفاده می‌کند که از UIA برای جمع‌آوری اطلاعات محرمانه مرتبط با طیف گسترده‌ای از پلتفرم‌های بانکی و ارزهای دیجیتال استفاده می‌کند.

ابزارهای قانونی که به ابزارهای مخرب تبدیل شدند

UIA بخشی از چارچوب .NET مایکروسافت است و در ابتدا برای کمک به فناوری‌های کمکی، مانند صفحه‌خوان‌ها، برای تعامل با عناصر رابط کاربری در برنامه‌های دسکتاپ طراحی شده بود. با این حال، قابلیت‌های آن به یک شمشیر دولبه تبدیل شده است. در دسامبر 2024، کارشناسان امنیتی یک اثبات مفهوم ارائه دادند که نشان می‌داد UIA می‌تواند به طور بالقوه برای سرقت داده‌ها و اجرای غیرمجاز کد مورد سوءاستفاده قرار گیرد.

اکنون، کایوت تئوری را به عمل تبدیل کرده است. مشابه تروجان‌های بانکی اندروید که از سرویس‌های دسترسی برای گرفتن اطلاعات حساس سوءاستفاده می‌کنند، کایوت UIA را دستکاری می‌کند تا عناصر برنامه را پیمایش کرده و اعتبارنامه‌های ارزشمند را استخراج کند.

چگونه کایوت به دنبال اطلاعات می‌گردد

این تروجان فرآیند جمع‌آوری اطلاعات خود را با استفاده از رابط برنامه‌نویسی کاربردی (API) ویندوز GetForegroundWindow() آغاز می‌کند تا مشخص کند کدام پنجره در حال حاضر فعال است. سپس عنوان آن پنجره را با یک لیست کدگذاری شده حاوی آدرس‌های وب ۷۵ بانک و صرافی ارز دیجیتال مورد هدف مقایسه می‌کند، عددی که از ۷۳ هدف در اوایل سال ۲۰۲۵ افزایش یافته است.

اگر عنوان پنجره با هیچ ورودی در لیست مطابقت نداشته باشد، Coyote تاکتیک خود را تغییر می‌دهد. از UIA برای تجزیه و تحلیل عناصر فرزند رابط پنجره فعال استفاده می‌کند و سعی می‌کند تب‌های مرورگر یا نوارهای آدرس را پیدا کند. محتوای این عناصر رابط کاربری دوباره با همان لیست هدف بررسی می‌شود.

گسترش قابلیت‌ها و ویژگی‌های مخفی‌کاری

کایوت به عملکردهای نظارتی اضافی مجهز است، از جمله:

  • ثبت ضربه کلید برای رهگیری اعتبارنامه‌های تایپ شده
  • گرفتن اسکرین‌شات برای ثبت بصری فعالیت کاربر
  • حملات همپوشانی که صفحات ورود به سیستم بانکی قانونی را تقلید می‌کنند

علاوه بر این، این بدافزار به طور مؤثر در هر دو حالت آنلاین و آفلاین عمل می‌کند و تضمین می‌کند که مکانیسم‌های جمع‌آوری اطلاعات کاربری آن صرف نظر از اتصال، همچنان فعال باشند. این انعطاف‌پذیری، پایداری آن را افزایش داده و سطح حمله آن را گسترش می‌دهد.

چرا UIA برای توسعه‌دهندگان بدافزار یک عامل تغییر دهنده‌ی بازی است؟

معمولاً دسترسی به زیرعناصر درون یک برنامه‌ی دیگر پیچیده است و نیاز به درک عمیقی از نحوه‌ی ساختار نرم‌افزار هدف دارد. با بهره‌برداری از UIA، Coyote این مانع را دور می‌زند و با کمترین تلاش، دید عمیقی به اجزای رابط کاربری داخلی برنامه‌ها پیدا می‌کند. این توانایی به طور قابل توجهی میزان موفقیت سرقت اطلاعات کاربری را افزایش می‌دهد.

تهدید رو به رشد برای داده‌های مالی

پذیرش خودکارسازی رابط کاربری توسط بدافزارهایی مانند Coyote نشان‌دهنده‌ی تکامل نگران‌کننده‌ای در چگونگی استفاده از ویژگی‌های قانونی سیستم‌ها به عنوان سلاح است. Coyote با توجه به اینکه ۷۵ موسسه‌ی مالی در حال حاضر در تیررس آن قرار دارند و روش حمله‌ای که به طور پیوسته در حال پیشرفت است، نیاز فوری به بهبود نظارت و مکانیسم‌های دفاعی در برابر سوءاستفاده از چارچوب دسترسی را برجسته می‌کند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,931
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...