Varian Hasad Coyote
Trojan perbankan Windows yang dikenali sebagai Coyote telah muncul sebagai strain malware pertama yang diperhatikan menyalahgunakan rangka kerja kebolehcapaian Windows, Automasi UI (UIA), untuk mencuri data pengguna yang sensitif. Pada mulanya didedahkan oleh penyelidik keselamatan siber pada 2024, Coyote menyasarkan terutamanya pengguna Brazil dan telah berkembang untuk menyepadukan teknik baru yang memanfaatkan UIA untuk menuai kelayakan yang terikat dengan pelbagai platform perbankan dan mata wang kripto.
Isi kandungan
Alatan Sah Menjadi Hasad
UIA ialah sebahagian daripada Rangka Kerja Microsoft .NET dan pada asalnya direka untuk membantu teknologi bantuan, seperti pembaca skrin, berinteraksi dengan elemen antara muka pengguna dalam aplikasi desktop. Namun, keupayaannya telah terbukti sebagai pedang bermata dua. Pada Disember 2024, pakar keselamatan membentangkan bukti konsep yang menunjukkan bahawa UIA berpotensi dieksploitasi untuk kecurian data dan pelaksanaan kod tanpa kebenaran.
Kini, Coyote telah mempraktikkan teori. Sama seperti trojan perbankan Android yang menyalahgunakan perkhidmatan kebolehaksesan untuk menangkap maklumat sensitif, Coyote memanipulasi UIA untuk menavigasi elemen aplikasi dan mengekstrak bukti kelayakan yang berharga.
Bagaimana Coyote Memburu Data
Trojan memulakan proses penuaian datanya dengan menggunakan GetForegroundWindow() Windows API untuk menentukan tetingkap mana yang sedang aktif. Ia kemudian membandingkan tajuk tetingkap itu dengan senarai berkod keras yang mengandungi alamat web 75 bank sasaran dan bursa mata wang kripto, jumlah yang telah meningkat daripada 73 sasaran pada awal 2025.
Jika tajuk tetingkap gagal sepadan dengan mana-mana entri dalam senarai, Coyote menukar taktik. Ia menggunakan UIA untuk menghuraikan elemen anak antara muka tetingkap aktif, cuba mencari tab penyemak imbas atau bar alamat. Kandungan elemen UI ini sekali lagi disemak terhadap senarai sasaran yang sama.
Meluaskan Keupayaan dan Ciri Stealth
Coyote dilengkapi dengan fungsi pengawasan tambahan, termasuk:
- Pengelogan ketukan kekunci untuk memintas kelayakan yang ditaip
- Tangkapan skrin untuk merakam aktiviti pengguna secara visual
- Serangan tindanan yang meniru halaman log masuk perbankan yang sah
Selain itu, perisian hasad berfungsi dengan berkesan dalam kedua-dua mod dalam talian dan luar talian, memastikan mekanisme penuaian kelayakannya kekal beroperasi tanpa mengira sambungan. Fleksibiliti ini meningkatkan kegigihannya dan meluaskan permukaan serangannya.
Mengapa UIA ialah Pengubah Permainan untuk Pembangun Perisian Hasad
Lazimnya, mengakses sub-elemen dalam aplikasi lain adalah rumit, memerlukan pemahaman yang mendalam tentang cara perisian sasaran distrukturkan. Dengan mengeksploitasi UIA, Coyote memintas halangan ini, mendapatkan penglihatan yang mendalam ke dalam komponen UI dalaman aplikasi dengan usaha yang minimum. Keupayaan ini meningkatkan kadar kejayaan kecurian kelayakan dengan ketara.
Ancaman yang Meningkat kepada Data Kewangan
Penggunaan Automasi UI oleh perisian hasad seperti Coyote menandakan evolusi yang membimbangkan dalam cara ciri sistem yang sah dipersenjatai. Dengan 75 institusi kewangan sudah berada dalam barisan silangnya dan metodologi serangan yang semakin maju, Coyote menyerlahkan keperluan mendesak untuk pemantauan yang lebih baik dan mekanisme pertahanan terhadap penyalahgunaan rangka kerja kebolehaksesan.
