Koijotu ļaunprogrammatūras variants
Windows banku Trojas zirgs, kas pazīstams kā Coyote, ir parādījies kā pirmais ļaunprogrammatūras paveids, kas ļaunprātīgi izmanto Windows pieejamības ietvaru UI Automation (UIA), lai nozagtu sensitīvus lietotāju datus. Kiberdrošības pētnieki to sākotnēji atklāja 2024. gadā, un Coyote galvenokārt ir vērsts uz Brazīlijas lietotājiem, un tas ir attīstījies, integrējot jaunu tehniku, kas izmanto UIA, lai iegūtu akreditācijas datus, kas saistīti ar plašu banku un kriptovalūtu platformu klāstu.
Satura rādītājs
Likumīgi rīki kļuvuši ļaunprātīgi
UIA ir daļa no Microsoft .NET Framework un sākotnēji tika izstrādāta, lai palīdzētu palīgtehnoloģijām, piemēram, ekrāna lasītājiem, mijiedarboties ar lietotāja saskarnes elementiem darbvirsmas lietojumprogrammās. Tomēr tās iespējas ir izrādījušās divvirzienu zobens. 2024. gada decembrī drošības eksperti prezentēja koncepcijas pierādījumu, kas parādīja, ka UIA varētu tikt izmantota datu zādzībām un neatļautai koda izpildei.
Tagad Coyote ir pielietojis teoriju praksē. Līdzīgi kā Android banku Trojas zirgi, kas ļaunprātīgi izmanto piekļuves pakalpojumus, lai iegūtu sensitīvu informāciju, Coyote manipulē ar lietotāja saskarni (UIA), lai pārvietotos lietojumprogrammu elementos un iegūtu vērtīgus akreditācijas datus.
Kā koijots meklē datus
Trojas zirgs sāk datu vākšanas procesu, izmantojot GetForegroundWindow() Windows API, lai noteiktu, kurš logs pašlaik ir aktīvs. Pēc tam tas salīdzina šī loga nosaukumu ar cietkodētu sarakstu, kurā ir 75 mērķa banku un kriptovalūtu biržu tīmekļa adreses, un šis skaitlis ir pieaudzis no 73 mērķiem 2025. gada sākumā.
Ja loga nosaukums neatbilst nevienam ierakstam sarakstā, Coyote maina taktiku. Tas izmanto lietotāja interfeisu (UI), lai parsētu aktīvā loga saskarnes bērnelementus, mēģinot atrast pārlūkprogrammas cilnes vai adrešu joslas. Šo lietotāja interfeisa elementu saturs atkal tiek pārbaudīts, salīdzinot ar to pašu mērķa sarakstu.
Iespēju paplašināšana un slepenības funkcijas
"Coyote" ir aprīkots ar papildu novērošanas funkcijām, tostarp:
- Taustiņu nospiešanas reģistrēšana, lai pārtvertu ievadītos akreditācijas datus
- Ekrānuzņēmumu uzņemšana, lai vizuāli reģistrētu lietotāja aktivitātes
- Pārklājuma uzbrukumi, kas atdarina likumīgas banku pieteikšanās lapas
Turklāt ļaunprogrammatūra efektīvi darbojas gan tiešsaistes, gan bezsaistes režīmā, nodrošinot, ka tās akreditācijas datu ievākšanas mehānismi darbojas neatkarīgi no savienojamības. Šī elastība uzlabo tās noturību un paplašina uzbrukuma virsmu.
Kāpēc UIA ir revolucionārs risinājums ļaunprogrammatūras izstrādātājiem
Parasti piekļuve apakšelementiem citā lietojumprogrammā ir sarežģīta, un tai nepieciešama padziļināta izpratne par mērķa programmatūras struktūru. Izmantojot lietotāja interfeisu (UI), Coyote apiet šo šķērsli, ar minimālu piepūli iegūstot dziļu ieskatu lietojumprogrammu iekšējos lietotāja interfeisa komponentos. Šī spēja ievērojami palielina akreditācijas datu zādzību veiksmes līmeni.
Pieaugošie draudi finanšu datiem
Lietotāja saskarnes automatizācijas ieviešana tādās ļaunprogrammatūrās kā Coyote iezīmē satraucošu evolūciju tajā, kā likumīgas sistēmas funkcijas tiek izmantotas kā ieroči. Ņemot vērā, ka Coyote jau ir 75 finanšu iestādes un pastāvīgi attīsta uzbrukumu metodoloģiju, tas uzsver steidzamo nepieciešamību uzlabot uzraudzību un aizsardzības mehānismus pret pieejamības ietvara ļaunprātīgu izmantošanu.
