Coyote kártevő variáns
A Coyote néven ismert Windows banki trójai vírus az első olyan rosszindulatú vírustörzs, amelyet a Windows akadálymentesítési keretrendszerével, az UI Automationnal (UIA) való visszaélésre figyeltek meg, hogy érzékeny felhasználói adatokat lopjon el. A kiberbiztonsági kutatók által 2024-ben leplezett Coyote elsősorban brazil felhasználókat céloz meg, és egy újszerű technikát integrált, amely az UIA-t használja a banki és kriptovaluta platformok széles skálájához kapcsolódó hitelesítő adatok gyűjtésére.
Tartalomjegyzék
Legális eszközök rosszindulatúvá váltak
Az UIA a Microsoft .NET keretrendszer része, és eredetileg azért tervezték, hogy segítse a segítő technológiákat, például a képernyőolvasókat, a felhasználói felület elemeivel való interakcióban az asztali alkalmazásokban. Képességei azonban kétélű fegyvernek bizonyultak. 2024 decemberében biztonsági szakértők bemutattak egy koncepcióbizonyítást, amely igazolta, hogy az UIA potenciálisan adatlopásra és jogosulatlan kódfuttatásra használható.
A Coyote most az elméletet a gyakorlatba ültette. Az Android banki trójai vírusokhoz hasonlóan, amelyek az akadálymentesítési szolgáltatásokat visszaélve bizalmas információkat szereznek, a Coyote a felhasználói felületet (UIA) manipulálja, hogy alkalmazáselemekben navigáljon és értékes hitelesítő adatokat szerezzen.
Hogyan vadászik a Coyote az adatokra
A trójai a GetForegroundWindow() Windows API használatával kezdi meg az adatgyűjtési folyamatot, hogy meghatározza, melyik ablak aktív. Ezután összehasonlítja az ablak címét egy fixen kódolt listával, amely 75 célzott bank és kriptotőzsde webcímét tartalmazza – ez a szám a 2025 eleji 73 célponthoz képest mára megnőtt.
Ha az ablak címe nem egyezik a lista egyetlen elemével sem, a Coyote taktikát vált. UIA-t használ az aktív ablak felületének gyermekelemeinek elemzéséhez, megpróbálva megtalálni a böngészőfüleket vagy a címsávokat. Ezen felhasználói felületelemek tartalmát ismét ellenőrzi ugyanazzal a céllistával szemben.
Bővített képességek és rejtett funkciók
A Coyote további megfigyelési funkciókkal van felszerelve, többek között:
- Billentyűleütés-naplózás a begépelt hitelesítő adatok elfogására
- Képernyőkép készítése a felhasználói tevékenység vizuális rögzítéséhez
- Átfedő támadások, amelyek utánozzák a legitim banki bejelentkezési oldalakat
Továbbá a kártevő hatékonyan működik mind online, mind offline módban, biztosítva, hogy a hitelesítő adatok gyűjtésére szolgáló mechanizmusai a kapcsolattól függetlenül működőképesek maradjanak. Ez a rugalmasság növeli a vírusállóságát és szélesíti a támadási felületét.
Miért forradalmi változást hoz az UIA a kártevőfejlesztők számára?
Normális esetben egy másik alkalmazáson belüli alelemekhez való hozzáférés összetett, és mélyreható ismereteket igényel a célszoftver struktúrájáról. Az UIA kihasználásával a Coyote megkerüli ezt az akadályt, minimális erőfeszítéssel mélyreható betekintést nyerve az alkalmazások belső felhasználói felületének összetevőibe. Ez a képesség jelentősen növeli a hitelesítő adatok ellopásának sikerességi arányát.
A pénzügyi adatokat fenyegető növekvő veszély
A felhasználói felület automatizálásának bevezetése olyan rosszindulatú programok által, mint a Coyote, aggasztó fejleményt jelent abban, hogyan válnak fegyverré a legitim rendszerfunkciók. Mivel már 75 pénzügyi intézmény van a célkeresztjében, és a támadási módszertan folyamatosan fejlődik, a Coyote rávilágít az akadálymentesítési keretrendszerrel való visszaélések elleni jobb monitorozási és védekezési mechanizmusok sürgős szükségességére.
