Coyote-haittaohjelman variantti
Windowsin pankkitroijalainen nimeltä Coyote on noussut esiin ensimmäisenä haittaohjelmatyyppinä, jonka on havaittu väärinkäyttävän Windowsin esteettömyysjärjestelmää, UI Automation (UIA), varastaakseen arkaluonteisia käyttäjätietoja. Kyberturvallisuustutkijat paljastivat Coyoten alun perin vuonna 2024, ja se kohdistuu ensisijaisesti brasilialaisiin käyttäjiin. Se on kehittynyt integroimaan uuden tekniikan, joka hyödyntää UIA:ta kerätäkseen tunnistetietoja, jotka on linkitetty laajaan valikoimaan pankki- ja kryptovaluutta-alustoja.
Sisällysluettelo
Lailliset työkalut muuttuivat haitallisiksi
UIA on osa Microsoft .NET Frameworkia, ja se suunniteltiin alun perin auttamaan avustavia teknologioita, kuten näytönlukijoita, vuorovaikutuksessa käyttöliittymäelementtien kanssa työpöytäsovelluksissa. Sen ominaisuudet ovat kuitenkin osoittautuneet kaksiteräiseksi miekaksi. Joulukuussa 2024 tietoturva-asiantuntijat esittivät konseptitodistuksen, joka osoitti, että UIA:ta voitaisiin mahdollisesti hyödyntää tietovarkauksiin ja luvattomaan koodin suorittamiseen.
Nyt Coyote on soveltanut teoriaa käytäntöön. Samoin kuin Android-pankkitroijalaiset, jotka väärinkäyttävät esteettömyyspalveluita arkaluonteisten tietojen kaappaamiseen, Coyote manipuloi käyttöliittymärajapintaa navigoidakseen sovelluselementeissä ja kerätäkseen arvokkaita tunnistetietoja.
Miten Coyote metsästää dataa
Troijalainen aloittaa tiedonkeruuprosessinsa määrittämällä GetForegroundWindow() Windows-rajapinnan avulla, mikä ikkuna on kulloinkin aktiivinen. Sitten se vertaa ikkunan otsikkoa kovakoodattuun luetteloon, joka sisältää 75 kohteena olevan pankin ja kryptovaluuttapörssin verkko-osoitteet. Määrä on kasvanut 73 kohteesta vuoden 2025 alussa.
Jos ikkunan otsikko ei vastaa mitään listan merkintää, Coyote vaihtaa taktiikkaa. Se käyttää käyttöliittymälogiikkaa jäsentääkseen aktiivisen ikkunan käyttöliittymän alielementit ja yrittää paikantaa selainvälilehtiä tai osoiteriviä. Näiden käyttöliittymäelementtien sisältöä tarkistetaan uudelleen samaa kohdelistaa vasten.
Laajennetut ominaisuudet ja piilotetut ominaisuudet
Coyote on varustettu lisävalvontatoiminnoilla, mukaan lukien:
- Näppäilyjen lokitietojen kerääminen kirjoitettujen tunnistetietojen sieppaamiseksi
- Kuvakaappaus käyttäjän toiminnan visuaaliseen tallentamiseen
- Peittokuvahyökkäykset, jotka matkivat laillisia pankkisivuja
Lisäksi haittaohjelma toimii tehokkaasti sekä online- että offline-tilassa varmistaen, että sen tunnistetietojen keruumekanismit pysyvät toiminnassa yhteydestä riippumatta. Tämä joustavuus parantaa sen pysyvyyttä ja laajentaa sen hyökkäyspinta-alaa.
Miksi UIA on mullistava haittaohjelmakehittäjille
Tavallisesti toisen sovelluksen alielementteihin pääseminen on monimutkaista ja vaatii syvällistä ymmärrystä kohdeohjelmiston rakenteesta. Hyödyntämällä käyttöliittymäintegraatiota Coyote kiertää tämän esteen ja saa syvällisen näkyvyyden sovellusten sisäisiin käyttöliittymäkomponentteihin minimaalisella vaivalla. Tämä kyky lisää merkittävästi tunnistetietojen varkauksien onnistumisastetta.
Kasvava uhka taloustiedoille
Käyttöliittymäautomaation käyttöönotto haittaohjelmien, kuten Coyoten, toimesta on huolestuttava kehitysaskel siinä, miten laillisia järjestelmäominaisuuksia aseistetaan. Coyoten kohteena on jo 75 rahoituslaitosta ja hyökkäysmenetelmät kehittyvät tasaisesti, mikä korostaa kiireellistä tarvetta parantaa valvontaa ja puolustusmekanismeja esteettömyyskehyksen väärinkäyttöä vastaan.
