Coyote Malware-variant
Windows-banktrojaneren kjent som Coyote har dukket opp som den første malware-stammen som er observert ved å misbruke Windows tilgjengelighetsrammeverk, UI Automation (UIA), for å stjele sensitive brukerdata. Coyote, som opprinnelig ble avslørt av cybersikkerhetsforskere i 2024, retter seg primært mot brasilianske brukere og har utviklet seg til å integrere en ny teknikk som utnytter UIA til å samle inn legitimasjon knyttet til et bredt spekter av bank- og kryptovalutaplattformer.
Innholdsfortegnelse
Legitime verktøy ble skadelige
UIA er en del av Microsoft .NET Framework og ble opprinnelig utviklet for å hjelpe hjelpeteknologier, som skjermlesere, med å samhandle med brukergrensesnittelementer i skrivebordsapplikasjoner. Funksjonene har imidlertid vist seg å være et tveegget sverd. I desember 2024 presenterte sikkerhetseksperter et konseptbevis som demonstrerte at UIA potensielt kunne utnyttes til datatyveri og uautorisert kodekjøring.
Nå har Coyote satt teori ut i praksis. I likhet med Android-banktrojanere som misbruker tilgjengelighetstjenester for å fange sensitiv informasjon, manipulerer Coyote UIA for å navigere i applikasjonselementer og trekke ut verdifull legitimasjon.
Hvordan Coyote jakter på data
Trojaneren starter datainnsamlingsprosessen ved å bruke GetForegroundWindow() Windows API for å bestemme hvilket vindu som er aktivt. Deretter sammenligner den tittelen på det vinduet med en hardkodet liste som inneholder nettadressene til 75 målrettede banker og kryptovalutabørser, et tall som har økt fra 73 mål tidlig i 2025.
Hvis vindustittelen ikke samsvarer med noen av oppføringene på listen, bytter Coyote taktikk. Den bruker UIA til å analysere underelementene i det aktive vinduets grensesnitt, og prøver å finne nettleserfaner eller adressefelt. Innholdet i disse UI-elementene kontrolleres igjen mot den samme mållisten.
Utvidelse av muligheter og skjulte funksjoner
Coyote er utstyrt med ekstra overvåkingsfunksjoner, inkludert:
- Tastetrykklogging for å fange opp skrevet legitimasjon
- Skjermbildeopptak for å visuelt registrere brukeraktivitet
- Overleggsangrep som etterligner legitime bankinnloggingssider
Dessuten fungerer skadevaren effektivt både online og offline, noe som sikrer at mekanismene for innsamling av legitimasjon forblir operative uavhengig av tilkobling. Denne fleksibiliteten forbedrer utholdenheten og utvider angrepsflaten.
Hvorfor UIA er banebrytende for utviklere av skadelig programvare
Vanligvis er det komplekst å få tilgang til underelementer i en annen applikasjon, og det krever en grundig forståelse av hvordan målprogramvaren er strukturert. Ved å utnytte UIA omgår Coyote denne barrieren og får dyp innsikt i applikasjonenes interne brukergrensesnittkomponenter med minimal innsats. Denne muligheten øker suksessraten for legitimasjonstyveri betydelig.
Den økende trusselen mot finansielle data
At skadevare som Coyote bruker brukergrensesnittautomatisering som våpen, markerer en urovekkende utvikling i hvordan legitime systemfunksjoner blir brukt som våpen. Med 75 finansinstitusjoner allerede i søkelyset og en stadig utviklende angrepsmetodikk, fremhever Coyote det presserende behovet for forbedrede overvåkings- og forsvarsmekanismer mot misbruk av tilgjengelighetsrammeverket.
