कोयोट मैलवेयर संस्करण
कोयोट नामक विंडोज बैंकिंग ट्रोजन, विंडोज एक्सेसिबिलिटी फ्रेमवर्क, यूआई ऑटोमेशन (यूआईए) का दुरुपयोग करके संवेदनशील उपयोगकर्ता डेटा चुराने वाला पहला मैलवेयर स्ट्रेन बनकर उभरा है। 2024 में साइबर सुरक्षा शोधकर्ताओं द्वारा पहली बार उजागर किया गया, कोयोट मुख्य रूप से ब्राज़ीलियाई उपयोगकर्ताओं को लक्षित कर रहा है और एक नई तकनीक को एकीकृत करने के लिए विकसित हुआ है जो बैंकिंग और क्रिप्टोकरेंसी प्लेटफ़ॉर्म की एक विस्तृत श्रृंखला से जुड़े क्रेडेंशियल्स को चुराने के लिए यूआईए का लाभ उठाता है।
विषयसूची
वैध उपकरण दुर्भावनापूर्ण बन गए
UIA, Microsoft .NET फ्रेमवर्क का एक हिस्सा है और इसे मूल रूप से स्क्रीन रीडर जैसी सहायक तकनीकों को डेस्कटॉप अनुप्रयोगों में यूज़र इंटरफ़ेस तत्वों के साथ इंटरैक्ट करने में मदद करने के लिए डिज़ाइन किया गया था। हालाँकि, इसकी क्षमताएँ दोधारी तलवार साबित हुई हैं। दिसंबर 2024 में, सुरक्षा विशेषज्ञों ने एक अवधारणा-प्रमाण प्रस्तुत किया जिसमें दिखाया गया कि UIA का संभावित रूप से डेटा चोरी और अनधिकृत कोड निष्पादन के लिए दुरुपयोग किया जा सकता है।
अब, कोयोट ने सिद्धांत को व्यवहार में ला दिया है। एंड्रॉइड बैंकिंग ट्रोजन की तरह, जो संवेदनशील जानकारी हासिल करने के लिए एक्सेसिबिलिटी सेवाओं का दुरुपयोग करते हैं, कोयोट यूआईए का इस्तेमाल करके एप्लिकेशन एलिमेंट्स को नेविगेट करता है और मूल्यवान क्रेडेंशियल्स निकालता है।
कोयोट डेटा का शिकार कैसे करता है
ट्रोजन GetForegroundWindow() विंडोज एपीआई का उपयोग करके अपनी डेटा-हार्वेस्टिंग प्रक्रिया शुरू करता है ताकि यह पता लगाया जा सके कि वर्तमान में कौन सी विंडो सक्रिय है। फिर यह उस विंडो के शीर्षक की तुलना एक हार्ड-कोडेड सूची से करता है जिसमें 75 लक्षित बैंकों और क्रिप्टोकरेंसी एक्सचेंजों के वेब पते होते हैं, यह संख्या 2025 की शुरुआत में 73 लक्ष्यों से बढ़कर 73 हो गई है।
यदि विंडो का शीर्षक सूची में किसी भी प्रविष्टि से मेल नहीं खाता है, तो कोयोट अपनी रणनीति बदल देता है। यह सक्रिय विंडो के इंटरफ़ेस के चाइल्ड एलिमेंट्स को पार्स करने के लिए UIA का उपयोग करता है, और ब्राउज़र टैब या एड्रेस बार ढूँढने का प्रयास करता है। इन UI एलिमेंट्स की सामग्री की फिर से उसी लक्ष्य सूची के विरुद्ध जाँच की जाती है।
क्षमताओं और गुप्त सुविधाओं का विस्तार
कोयोट अतिरिक्त निगरानी कार्यों से सुसज्जित है, जिनमें शामिल हैं:
- टाइप किए गए क्रेडेंशियल्स को इंटरसेप्ट करने के लिए कीस्ट्रोक लॉगिंग
- उपयोगकर्ता गतिविधि को दृश्य रूप से रिकॉर्ड करने के लिए स्क्रीनशॉट कैप्चर करना
- ओवरले हमले जो वैध बैंकिंग लॉगिन पृष्ठों की नकल करते हैं
इसके अलावा, मैलवेयर ऑनलाइन और ऑफलाइन, दोनों ही तरीकों से प्रभावी ढंग से काम करता है, जिससे यह सुनिश्चित होता है कि कनेक्टिविटी की परवाह किए बिना भी इसके क्रेडेंशियल-हार्वेस्टिंग तंत्र चालू रहें। यह लचीलापन इसकी दृढ़ता को बढ़ाता है और इसके हमले के दायरे को व्यापक बनाता है।
मैलवेयर डेवलपर्स के लिए UIA एक गेम-चेंजर क्यों है?
आमतौर पर, किसी अन्य एप्लिकेशन के उप-तत्वों तक पहुँचना जटिल होता है, जिसके लिए लक्षित सॉफ़्टवेयर की संरचना की गहन समझ की आवश्यकता होती है। UIA का उपयोग करके, कोयोट इस बाधा को पार कर जाता है, और न्यूनतम प्रयास से एप्लिकेशन के आंतरिक UI घटकों की गहन जानकारी प्राप्त कर लेता है। यह क्षमता क्रेडेंशियल चोरी की सफलता दर को उल्लेखनीय रूप से बढ़ा देती है।
वित्तीय डेटा के लिए बढ़ता खतरा
कोयोट जैसे मैलवेयर द्वारा यूआई ऑटोमेशन को अपनाना, वैध सिस्टम सुविधाओं के हथियारीकरण में एक चिंताजनक बदलाव का संकेत है। 75 वित्तीय संस्थान पहले से ही इसके निशाने पर हैं और हमले की कार्यप्रणाली लगातार बढ़ रही है, ऐसे में कोयोट, एक्सेसिबिलिटी फ्रेमवर्क के दुरुपयोग के खिलाफ बेहतर निगरानी और रक्षात्मक तंत्र की तत्काल आवश्यकता पर प्रकाश डालता है।
