វ៉ារ្យ៉ង់មេរោគ Coyote Malware

Trojan ធនាគារ Windows ដែលគេស្គាល់ថា Coyote បានលេចចេញជាមេរោគ Malware ដំបូងគេសង្កេតឃើញបំពានក្របខ័ណ្ឌមធ្យោបាយងាយស្រួលរបស់ Windows គឺ UI Automation (UIA) ដើម្បីលួចទិន្នន័យអ្នកប្រើប្រាស់ដែលងាយរងគ្រោះ។ ដំបូងឡើយត្រូវបានលាតត្រដាងដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតនៅឆ្នាំ 2024 Coyote កំពុងកំណត់គោលដៅជាចម្បងលើអ្នកប្រើប្រាស់ប្រេស៊ីល ហើយបានវិវឌ្ឍក្នុងការរួមបញ្ចូលនូវបច្ចេកទេសប្រលោមលោកដែលប្រើប្រាស់ UIA ក្នុងការប្រមូលព័ត៌មានសម្ងាត់ដែលភ្ជាប់ទៅនឹងប្រព័ន្ធធនាគារ និងរូបិយប័ណ្ណគ្រីបតូជាច្រើន។

ឧបករណ៍ស្របច្បាប់ប្រែទៅជាព្យាបាទ

UIA គឺជាផ្នែកមួយនៃ Microsoft .NET Framework ហើយត្រូវបានបង្កើតឡើងដំបូងដើម្បីជួយបច្ចេកវិទ្យាជំនួយ ដូចជាកម្មវិធីអានអេក្រង់ ធ្វើអន្តរកម្មជាមួយធាតុចំណុចប្រទាក់អ្នកប្រើប្រាស់នៅក្នុងកម្មវិធីកុំព្យូទ័រ។ ទោះជាយ៉ាងណាក៏ដោយ សមត្ថភាពរបស់វាបានបង្ហាញឱ្យឃើញថា ជាដាវមុខពីរ។ នៅក្នុងខែធ្នូ ឆ្នាំ 2024 អ្នកជំនាញផ្នែកសន្តិសុខបានបង្ហាញភស្តុតាងនៃគំនិតដែលបង្ហាញថា UIA អាចត្រូវបានគេកេងប្រវ័ញ្ចសម្រាប់ការលួចទិន្នន័យ និងការប្រតិបត្តិកូដដោយគ្មានការអនុញ្ញាត។

ឥឡូវ​នេះ ខូយយូធី បាន​ដាក់​ទ្រឹស្ដី​មក​អនុវត្ត។ ស្រដៀងទៅនឹង trojans ធនាគារ Android ដែលប្រើប្រាស់សេវាកម្មមធ្យោបាយងាយស្រួលខុសក្នុងការចាប់យកព័ត៌មានរសើប Coyote រៀបចំ UIA ដើម្បីរុករកធាតុកម្មវិធី និងទាញយកព័ត៌មានសម្ងាត់ដ៏មានតម្លៃ។

របៀបដែល Coyote ស្វែងរកទិន្នន័យ

Trojan ចាប់ផ្តើមដំណើរការប្រមូលទិន្នន័យរបស់វាដោយប្រើ GetForegroundWindow() Windows API ដើម្បីកំណត់ថាតើបង្អួចមួយណាដែលសកម្មនាពេលបច្ចុប្បន្ន។ បន្ទាប់មកវាប្រៀបធៀបចំណងជើងនៃវិនដូនោះប្រឆាំងនឹងបញ្ជីកូដរឹងដែលមានអាសយដ្ឋានគេហទំព័ររបស់ធនាគារគោលដៅចំនួន 75 និងការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ ដែលជាចំនួនដែលបានកើនឡើងពីគោលដៅ 73 នៅដើមឆ្នាំ 2025។

ប្រសិនបើចំណងជើងបង្អួចបរាជ័យក្នុងការផ្គូផ្គងធាតុណាមួយនៅក្នុងបញ្ជីនោះ Coyote ប្តូរយុទ្ធសាស្ត្រ។ វាប្រើ UIA ដើម្បីញែកតាមរយៈធាតុកូននៃចំណុចប្រទាក់របស់បង្អួចសកម្ម ដោយព្យាយាមកំណត់ទីតាំងផ្ទាំងកម្មវិធីរុករកតាមអ៊ីនធឺណិត ឬរបារអាសយដ្ឋាន។ ខ្លឹមសារនៃធាតុ UI ទាំងនេះត្រូវបានពិនិត្យម្តងទៀតប្រឆាំងនឹងបញ្ជីគោលដៅដូចគ្នា។

ការពង្រីកសមត្ថភាព និងមុខងារបំបាំងកាយ

Coyote ត្រូវបានបំពាក់ដោយមុខងារឃ្លាំមើលបន្ថែម រួមមានៈ

• ការកត់ត្រាដោយចុចគ្រាប់ចុចដើម្បីស្ទាក់ចាប់ព័ត៌មានសម្គាល់ដែលបានវាយបញ្ចូល
• ការថតអេក្រង់ដើម្បីថតសកម្មភាពរបស់អ្នកប្រើដោយមើលឃើញ
• ការវាយប្រហារត្រួតគ្នាដែលធ្វើត្រាប់តាមទំព័រចូលធនាគារស្របច្បាប់

ជាងនេះទៅទៀត មេរោគដំណើរការយ៉ាងមានប្រសិទ្ធភាពទាំងក្នុងរបៀបអនឡាញ និងក្រៅបណ្តាញ ដោយធានាថាយន្តការប្រមូលផលព័ត៌មានសម្ងាត់របស់វានៅតែដំណើរការដោយមិនគិតពីការតភ្ជាប់។ ភាពបត់បែននេះបង្កើនភាពជាប់លាប់របស់វា និងពង្រីកផ្ទៃវាយប្រហាររបស់វា។

ហេតុអ្វីបានជា UIA គឺជា Game-Changer សម្រាប់អ្នកអភិវឌ្ឍន៍មេរោគ

ជាធម្មតា ការចូលប្រើធាតុរងនៅក្នុងកម្មវិធីផ្សេងទៀតគឺស្មុគ្រស្មាញ ទាមទារឱ្យមានការយល់ដឹងស៊ីជម្រៅអំពីរបៀបដែលកម្មវិធីគោលដៅត្រូវបានរៀបចំឡើង។ តាមរយៈការកេងប្រវ័ញ្ច UIA Coyote គេចពីរបាំងនេះ ដោយទទួលបានភាពមើលឃើញយ៉ាងស៊ីជម្រៅទៅក្នុងសមាសធាតុ UI ខាងក្នុងរបស់កម្មវិធី ដោយមានការខិតខំប្រឹងប្រែងតិចតួចបំផុត។ សមត្ថភាពនេះបង្កើនអត្រាជោគជ័យនៃការលួចព័ត៌មានយ៉ាងសំខាន់។

ការគំរាមកំហែងកាន់តែខ្លាំងឡើងចំពោះទិន្នន័យហិរញ្ញវត្ថុ

ការទទួលយក UI Automation ដោយមេរោគដូចជា Coyote សម្គាល់ការវិវត្តដ៏លំបាកមួយនៅក្នុងរបៀបដែលមុខងារប្រព័ន្ធស្របច្បាប់កំពុងត្រូវបានបំពាក់អាវុធ។ ដោយមានស្ថាប័នហិរញ្ញវត្ថុចំនួន 75 រួចហើយនៅក្នុងជួររបស់ខ្លួន និងវិធីសាស្រ្តនៃការវាយប្រហារជឿនលឿនជាលំដាប់ Coyote គូសបញ្ជាក់ពីតម្រូវការបន្ទាន់សម្រាប់ការធ្វើឱ្យប្រសើរឡើងនូវការត្រួតពិនិត្យ និងយន្តការការពារប្រឆាំងនឹងការរំលោភបំពានក្របខ័ណ្ឌលទ្ធភាពប្រើប្រាស់។