Coyote Malware-variant
De Windows banking trojan Coyote is de eerste malware die is waargenomen die misbruik maakt van het Windows toegankelijkheidsframework, UI Automation (UIA), om gevoelige gebruikersgegevens te stelen. Coyote, dat in 2024 voor het eerst door cybersecurityonderzoekers werd ontdekt, richt zich voornamelijk op Braziliaanse gebruikers en is geëvolueerd tot een nieuwe techniek die UIA gebruikt om inloggegevens te verzamelen die gekoppeld zijn aan een breed scala aan bank- en cryptovalutaplatforms.
Inhoudsopgave
Legitieme tools die kwaadaardig zijn geworden
UIA maakt deel uit van Microsoft .NET Framework en was oorspronkelijk ontworpen om ondersteunende technologieën, zoals schermlezers, te ondersteunen bij de interactie met gebruikersinterface-elementen in desktopapplicaties. De mogelijkheden ervan blijken echter een tweesnijdend zwaard te zijn. In december 2024 presenteerden beveiligingsexperts een proof-of-concept waaruit bleek dat UIA mogelijk kan worden misbruikt voor gegevensdiefstal en ongeautoriseerde code-uitvoering.
Coyote brengt de theorie nu in de praktijk. Net zoals Android-bankingtrojans toegankelijkheidsservices misbruiken om gevoelige informatie te verzamelen, manipuleert Coyote UIA om door applicatie-elementen te navigeren en waardevolle inloggegevens te verkrijgen.
Hoe Coyote op zoek gaat naar data
De trojan begint zijn dataverzamelingsproces met behulp van de Windows API GetForegroundWindow() om te bepalen welk venster momenteel actief is. Vervolgens vergelijkt hij de titel van dat venster met een hardgecodeerde lijst met de webadressen van 75 doelwitten van banken en cryptobeurzen, een aantal dat is gegroeid van 73 doelen begin 2025.
Als de venstertitel niet overeenkomt met een item in de lijst, schakelt Coyote over naar een andere tactiek. Het gebruikt UIA om de onderliggende elementen van de interface van het actieve venster te analyseren en probeert browsertabbladen of adresbalken te vinden. De inhoud van deze UI-elementen wordt opnieuw gecontroleerd aan de hand van dezelfde doellijst.
Uitbreidende mogelijkheden en stealth-functies
Coyote is uitgerust met extra bewakingsfuncties, waaronder:
- Toetsregistratie om getypte inloggegevens te onderscheppen
- Schermafbeeldingen maken om gebruikersactiviteit visueel vast te leggen
- Overlay-aanvallen die legitieme bankloginpagina's nabootsen
Bovendien werkt de malware effectief in zowel online als offline modus, waardoor de mechanismen voor het verzamelen van inloggegevens operationeel blijven, ongeacht de connectiviteit. Deze flexibiliteit vergroot de persistentie en vergroot het aanvalsoppervlak.
Waarom UIA een game-changer is voor malware-ontwikkelaars
Normaal gesproken is toegang tot subelementen binnen een andere applicatie complex en vereist het een diepgaand begrip van de structuur van de doelsoftware. Door UIA te gebruiken, omzeilt Coyote deze barrière en krijgt het met minimale inspanning diepgaand inzicht in de interne UI-componenten van applicaties. Deze mogelijkheid verhoogt de kans op diefstal van inloggegevens aanzienlijk.
De groeiende bedreiging voor financiële data
De adoptie van UI-automatisering door malware zoals Coyote markeert een verontrustende evolutie in de manier waarop legitieme systeemfuncties worden ingezet als wapen. Met 75 financiële instellingen die al in het vizier zijn en een gestaag voortschrijdende aanvalsmethodologie, onderstreept Coyote de dringende behoefte aan verbeterde monitoring en verdedigingsmechanismen tegen misbruik van het toegankelijkheidsframework.
