कोयोट मालवेयर भेरियन्ट
कोयोट भनेर चिनिने विन्डोज बैंकिङ ट्रोजन, संवेदनशील प्रयोगकर्ता डेटा चोरी गर्न विन्डोज पहुँच फ्रेमवर्क, UI स्वचालन (UIA) को दुरुपयोग गर्ने पहिलो मालवेयर स्ट्रेनको रूपमा देखा परेको छ। २०२४ मा साइबर सुरक्षा अनुसन्धानकर्ताहरूले सुरुमा खुलासा गरेको, कोयोटले मुख्यतया ब्राजिलियन प्रयोगकर्ताहरूलाई लक्षित गरिरहेको छ र बैंकिङ र क्रिप्टोकरेन्सी प्लेटफर्महरूको विस्तृत दायरामा बाँधिएको प्रमाणहरू संकलन गर्न UIA लाई लाभ उठाउने नयाँ प्रविधिलाई एकीकृत गर्न विकसित भएको छ।
सामग्रीको तालिका
वैध उपकरणहरू दुर्भावनापूर्ण बने
UIA माइक्रोसफ्ट .NET फ्रेमवर्कको एक हिस्सा हो र मूल रूपमा स्क्रिन रिडरहरू जस्ता सहायक प्रविधिहरूलाई डेस्कटप अनुप्रयोगहरूमा प्रयोगकर्ता इन्टरफेस तत्वहरूसँग अन्तर्क्रिया गर्न मद्दत गर्न डिजाइन गरिएको थियो। यद्यपि, यसको क्षमताहरू दोधारे तरवार साबित भएका छन्। डिसेम्बर २०२४ मा, सुरक्षा विशेषज्ञहरूले UIA लाई डेटा चोरी र अनधिकृत कोड कार्यान्वयनको लागि सम्भावित रूपमा शोषण गर्न सकिन्छ भनेर प्रदर्शन गर्ने अवधारणाको प्रमाण प्रस्तुत गरे।
अब, कोयोटले सिद्धान्तलाई व्यवहारमा उतारिदिएको छ। संवेदनशील जानकारी कब्जा गर्न पहुँच सेवाहरूको दुरुपयोग गर्ने एन्ड्रोइड बैंकिङ ट्रोजनहरू जस्तै, कोयोटले अनुप्रयोग तत्वहरू नेभिगेट गर्न र बहुमूल्य प्रमाणहरू निकाल्न UIA लाई हेरफेर गर्दछ।
कोयोटले कसरी डेटा खोज्छ
ट्रोजनले हाल कुन विन्डो सक्रिय छ भनेर निर्धारण गर्न GetForegroundWindow() Windows API प्रयोग गरेर आफ्नो डेटा-हार्वेस्टिङ प्रक्रिया सुरु गर्छ। त्यसपछि यसले ७५ लक्षित बैंकहरू र क्रिप्टोकरेन्सी एक्सचेन्जहरूको वेब ठेगानाहरू समावेश गर्ने हार्ड-कोड गरिएको सूचीसँग त्यो विन्डोको शीर्षकको तुलना गर्छ, जुन संख्या २०२५ को सुरुमा ७३ लक्ष्यहरूबाट बढेको छ।
यदि विन्डो शीर्षक सूचीमा कुनै पनि प्रविष्टिसँग मेल खाँदैन भने, कोयोटले रणनीतिहरू स्विच गर्छ। यसले सक्रिय विन्डोको इन्टरफेसको बाल तत्वहरू मार्फत पार्स गर्न UIA प्रयोग गर्दछ, ब्राउजर ट्याबहरू वा ठेगाना बारहरू पत्ता लगाउने प्रयास गर्दछ। यी UI तत्वहरूको सामग्री फेरि उही लक्ष्य सूची विरुद्ध जाँच गरिन्छ।
क्षमताहरू र गोप्य सुविधाहरू विस्तार गर्दै
कोयोट अतिरिक्त निगरानी कार्यहरूले सुसज्जित छ, जसमा समावेश छन्:
- टाइप गरिएका प्रमाणपत्रहरू अवरोध गर्न किस्ट्रोक लगिङ
- प्रयोगकर्ता गतिविधि दृश्यात्मक रूपमा रेकर्ड गर्न स्क्रिनसट क्याप्चर गर्दै
- वैध बैंकिङ लगइन पृष्ठहरूको नक्कल गर्ने ओभरले आक्रमणहरू
यसबाहेक, मालवेयरले अनलाइन र अफलाइन दुवै मोडमा प्रभावकारी रूपमा कार्य गर्दछ, जसले गर्दा यसको क्रेडेन्सियल-हार्वेस्टिङ संयन्त्रहरू कनेक्टिभिटीको पर्वाह नगरी सञ्चालनमा रहन्छन्। यो लचिलोपनले यसको दृढता बढाउँछ र यसको आक्रमण सतहलाई फराकिलो बनाउँछ।
किन UIA मालवेयर विकासकर्ताहरूको लागि गेम-चेन्जर हो
सामान्यतया, अर्को अनुप्रयोग भित्र उप-तत्वहरू पहुँच गर्नु जटिल हुन्छ, जसको लागि लक्षित सफ्टवेयर कसरी संरचित छ भन्ने बारे गहन बुझाइ आवश्यक पर्दछ। UIA को शोषण गरेर, कोयोटले यो अवरोधलाई पार गर्छ, न्यूनतम प्रयासमा अनुप्रयोगहरूको आन्तरिक UI कम्पोनेन्टहरूमा गहिरो दृश्यता प्राप्त गर्दछ। यो क्षमताले प्रमाण चोरीको सफलता दरलाई उल्लेखनीय रूपमा बढाउँछ।
वित्तीय डेटाको बढ्दो खतरा
कोयोट जस्ता मालवेयरद्वारा UI स्वचालन अपनाउनुले वैध प्रणाली सुविधाहरूलाई कसरी हतियार बनाइँदैछ भन्ने कुरामा एक चिन्ताजनक विकासलाई संकेत गर्दछ। ७५ वित्तीय संस्थाहरू पहिले नै यसको क्रसहेयरमा छन् र निरन्तर रूपमा अगाडि बढिरहेको आक्रमण पद्धतिको साथ, कोयोटले पहुँच फ्रेमवर्क दुरुपयोग विरुद्ध सुधारिएको अनुगमन र रक्षात्मक संयन्त्रहरूको तत्काल आवश्यकतालाई हाइलाइट गर्दछ।
