코요테 맬웨어 변종

코요테(Coyote)로 알려진 윈도우 뱅킹 트로이목마는 윈도우 접근성 프레임워크인 UI 자동화(UIA)를 악용하여 민감한 사용자 데이터를 훔치는 최초의 악성코드 변종으로 나타났습니다. 2024년 사이버 보안 연구원들에 의해 처음 발견된 코요테는 주로 브라질 사용자를 표적으로 삼고 있으며, UIA를 활용하여 다양한 뱅킹 및 암호화폐 플랫폼에 연결된 자격 증명을 수집하는 새로운 기법을 통합하는 방향으로 진화했습니다.

합법적인 도구가 악성으로 변하다

UIA는 Microsoft .NET Framework의 일부이며, 원래는 화면 판독기와 같은 보조 기술이 데스크톱 애플리케이션의 사용자 인터페이스 요소와 상호 작용할 수 있도록 설계되었습니다. 그러나 UIA의 기능은 양날의 검임이 입증되었습니다. 2024년 12월, 보안 전문가들은 UIA가 데이터 유출 및 무단 코드 실행에 악용될 가능성이 있음을 보여주는 개념 증명(PoC)을 발표했습니다.

이제 코요테는 이론을 현실로 구현했습니다. 접근성 서비스를 악용하여 민감한 정보를 탈취하는 안드로이드 뱅킹 트로이 목마와 유사하게, 코요테는 UIA를 조작하여 애플리케이션 요소를 탐색하고 중요한 자격 증명을 추출합니다.

코요테가 데이터를 사냥하는 방법

트로이 목마는 GetForegroundWindow() Windows API를 사용하여 현재 활성화된 창을 파악하는 것으로 데이터 수집 프로세스를 시작합니다. 그런 다음 해당 창의 제목을 75개 대상 은행 및 암호화폐 거래소의 웹 주소가 포함된 하드코딩된 목록과 비교합니다. 이 목록은 2025년 초 73개에서 현재 75개로 증가했습니다.

창 제목이 목록의 어떤 항목과도 일치하지 않으면 Coyote는 전략을 바꿉니다. UIA를 사용하여 활성 창 인터페이스의 자식 요소를 분석하여 브라우저 탭이나 주소 표시줄을 찾습니다. 이러한 UI 요소의 내용을 동일한 대상 목록과 다시 비교합니다.

확장된 기능 및 스텔스 기능

코요테에는 다음을 포함한 추가 감시 기능이 탑재되어 있습니다.

• 입력된 자격 증명을 가로채기 위한 키 입력 로깅
• 사용자 활동을 시각적으로 기록하기 위한 스크린샷 캡처
• 합법적인 은행 로그인 페이지를 모방하는 오버레이 공격

더욱이 이 악성코드는 온라인 및 오프라인 모드 모두에서 효과적으로 작동하여 연결 여부와 관계없이 자격 증명 수집 메커니즘이 계속 작동하도록 보장합니다. 이러한 유연성은 악성코드의 지속성을 강화하고 공격 범위를 넓힙니다.

UIA가 맬웨어 개발자에게 획기적인 변화를 가져다주는 이유

일반적으로 다른 애플리케이션의 하위 요소에 접근하는 것은 복잡하며, 대상 소프트웨어의 구조에 대한 심층적인 이해가 필요합니다. Coyote는 UIA를 활용하여 이러한 장벽을 우회하고 최소한의 노력으로 애플리케이션의 내부 UI 구성 요소에 대한 심층적인 가시성을 확보합니다. 이러한 기능은 자격 증명 도용 성공률을 크게 높입니다.

금융 데이터에 대한 위협 증가

Coyote와 같은 악성코드가 UI 자동화를 도입한 것은 합법적인 시스템 기능이 무기화되는 방식에 있어 우려스러운 진화를 보여줍니다. 이미 75개 금융기관이 Coyote의 표적이 되고 공격 수법이 꾸준히 발전하는 상황에서, Coyote는 접근성 프레임워크 남용에 대한 모니터링 및 방어 메커니즘 개선의 시급한 필요성을 강조합니다.