Kojoto kenkėjiškos programos variantas
„Windows“ bankininkystės Trojos arklys, žinomas kaip „Coyote“, tapo pirmąja kenkėjiškos programos atmaina, piktnaudžiaujančia „Windows“ pritaikymo neįgaliesiems sistema „UI Automation“ (UIA), siekiant pavogti jautrius vartotojų duomenis. Kibernetinio saugumo tyrėjų 2024 m. atskleista „Coyote“ daugiausia taikosi į Brazilijos vartotojus ir vogta į naują techniką, kuri naudoja UIA, kad surinktų prisijungimo duomenis, susietus su įvairiomis bankininkystės ir kriptovaliutų platformomis.
Turinys
Teisėti įrankiai virto kenkėjiškais
UIA yra „Microsoft .NET Framework“ dalis ir iš pradžių buvo sukurta tam, kad padėtų pagalbinėms technologijoms, tokioms kaip ekrano skaitytuvai, sąveikauti su vartotojo sąsajos elementais darbalaukio programose. Tačiau jos galimybės pasirodė esančios dviašmenis kardas. 2024 m. gruodžio mėn. saugumo ekspertai pristatė koncepcijos įrodymą, įrodantį, kad UIA gali būti išnaudota duomenų vagystei ir neteisėtam kodo vykdymui.
Dabar „Coyote“ teoriją pritaikė praktikoje. Panašiai kaip „Android“ bankininkystės Trojos arkliai, kurie netinkamai naudojasi prieigos paslaugomis, kad surinktų neskelbtiną informaciją, „Coyote“ manipuliuoja UIA, kad naršytų programos elementus ir išgautų vertingus prisijungimo duomenis.
Kaip kojotas medžioja duomenis
Trojos arklys pradeda duomenų rinkimo procesą naudodamas „GetForegroundWindow()“ „Windows“ API, kad nustatytų, kuris langas šiuo metu aktyvus. Tada jis palygina to lango pavadinimą su užkoduotu sąrašu, kuriame yra 75 tikslinių bankų ir kriptovaliutų biržų interneto adresai – šis skaičius išaugo nuo 73 taikinių 2025 m. pradžioje.
Jei lango pavadinimas neatitinka jokio sąrašo įrašo, „Coyote“ pakeičia taktiką. Jis naudoja UIA, kad analizuotų aktyvaus lango sąsajos antrinius elementus ir bandytų rasti naršyklės skirtukus arba adresų juostas. Šių UI elementų turinys vėl tikrinamas pagal tą patį tikslinį sąrašą.
Išplečiamos galimybės ir slaptos funkcijos
„Coyote“ turi papildomas stebėjimo funkcijas, įskaitant:
- Klavišų paspaudimų registravimas, siekiant perimti įvestus prisijungimo duomenis
- Ekrano kopijos darymas, siekiant vizualiai užfiksuoti naudotojo veiklą
- Perdangos atakos, imituojančios teisėtus bankininkystės prisijungimo puslapius
Be to, kenkėjiška programa efektyviai veikia tiek prisijungus, tiek neprisijungus, užtikrindama, kad jos kredencialų rinkimo mechanizmai veiktų nepriklausomai nuo interneto ryšio. Toks lankstumas padidina jos atsparumą ir praplečia atakų paviršių.
Kodėl UIA yra esminis pokytis kenkėjiškų programų kūrėjams
Paprastai prieiga prie kitos programos subelementų yra sudėtinga ir reikalauja išsamaus tikslinės programinės įrangos struktūros supratimo. Pasinaudodama UIA, „Coyote“ apeina šią kliūtį ir minimaliomis pastangomis įgyja išsamų programų vidinių vartotojo sąsajos komponentų matomumą. Ši galimybė žymiai padidina kredencialų vagysčių sėkmės rodiklį.
Auganti grėsmė finansiniams duomenims
Kenkėjiškų programų, tokių kaip „Coyote“, įdiegimas naudojant vartotojo sąsajos automatizavimą žymi nerimą keliantį teisėtų sistemos funkcijų pavertimo ginklu pokytį. Jau dabar taikinyje esant 75 finansų įstaigoms ir nuolat tobulėjant atakų metodikai, „Coyote“ pabrėžia neatidėliotiną poreikį patobulinti stebėjimo ir gynybos mechanizmus, skirtus kovai su prieinamumo sistemos piktnaudžiavimu.
