Wariant złośliwego oprogramowania Coyote
Trojan bankowy dla systemu Windows, znany jako Coyote, pojawił się jako pierwszy szczep złośliwego oprogramowania wykorzystujący platformę ułatwień dostępu systemu Windows, UI Automation (UIA), do kradzieży poufnych danych użytkowników. Po raz pierwszy ujawniony przez badaczy cyberbezpieczeństwa w 2024 roku, Coyote atakuje głównie użytkowników brazylijskich i ewoluował, integrując nowatorską technikę, która wykorzystuje UIA do gromadzenia danych uwierzytelniających powiązanych z szeroką gamą platform bankowych i kryptowalutowych.
Spis treści
Legalne narzędzia stały się złośliwe
UIA jest częścią platformy Microsoft .NET Framework i pierwotnie został zaprojektowany, aby ułatwić technologiom wspomagającym, takim jak czytniki ekranu, interakcję z elementami interfejsu użytkownika w aplikacjach desktopowych. Jednak jego możliwości okazały się bronią obosieczną. W grudniu 2024 roku eksperci ds. bezpieczeństwa przedstawili dowód koncepcji (proof-of-concept), który wykazał, że UIA może zostać potencjalnie wykorzystana do kradzieży danych i nieautoryzowanego wykonania kodu.
Teraz Coyote przełożył teorię na praktykę. Podobnie jak trojany bankowe na Androida, które wykorzystują usługi ułatwień dostępu do przechwytywania poufnych informacji, Coyote manipuluje UIA, aby poruszać się po elementach aplikacji i wyłudzać cenne dane uwierzytelniające.
Jak kojot poluje na dane
Trojan rozpoczyna proces zbierania danych, używając interfejsu API GetForegroundWindow() systemu Windows, aby określić, które okno jest aktualnie aktywne. Następnie porównuje tytuł tego okna z zakodowaną na stałe listą zawierającą adresy internetowe 75 atakowanych banków i giełd kryptowalut – liczba ta wzrosła z 73 na początku 2025 roku.
Jeśli tytuł okna nie pasuje do żadnego wpisu na liście, Coyote zmienia taktykę. Używa UIA do analizy elementów podrzędnych interfejsu aktywnego okna, próbując zlokalizować karty przeglądarki lub paski adresu. Zawartość tych elementów interfejsu użytkownika jest ponownie sprawdzana pod kątem tej samej listy docelowej.
Rozszerzanie możliwości i funkcji stealth
Coyote jest wyposażony w dodatkowe funkcje nadzoru, w tym:
- Rejestrowanie naciśnięć klawiszy w celu przechwytywania wpisywanych danych uwierzytelniających
- Przechwytywanie zrzutów ekranu w celu wizualnego rejestrowania aktywności użytkownika
- Ataki nakładkowe imitujące legalne strony logowania do banków
Co więcej, złośliwe oprogramowanie działa skutecznie zarówno w trybie online, jak i offline, zapewniając, że mechanizmy gromadzenia danych uwierzytelniających pozostają sprawne niezależnie od połączenia. Ta elastyczność zwiększa jego trwałość i poszerza obszar ataku.
Dlaczego UIA zmienia zasady gry dla twórców złośliwego oprogramowania
Zazwyczaj dostęp do podelementów w innej aplikacji jest złożony i wymaga dogłębnego zrozumienia struktury docelowego oprogramowania. Wykorzystując UIA, Coyote omija tę barierę, uzyskując dogłębny wgląd w wewnętrzne komponenty interfejsu użytkownika aplikacji przy minimalnym wysiłku. Ta możliwość znacząco zwiększa skuteczność kradzieży danych uwierzytelniających.
Rosnące zagrożenie dla danych finansowych
Wdrożenie automatyzacji interfejsu użytkownika przez złośliwe oprogramowanie, takie jak Coyote, oznacza niepokojącą ewolucję w sposobie, w jaki legalne funkcje systemu stają się bronią. Mając na celowniku 75 instytucji finansowych i stale rozwijającą się metodologię ataków, Coyote podkreśla pilną potrzebę ulepszonego monitorowania i mechanizmów obronnych przed nadużyciami w zakresie dostępności.
