Вариант вредоносного ПО Coyote
Банковский троян Windows, известный как Coyote, стал первым вредоносным ПО, использующим фреймворк специальных возможностей Windows UI Automation (UIA) для кражи конфиденциальных данных пользователей. Coyote, впервые обнаруженный специалистами по кибербезопасности в 2024 году, в первую очередь нацелен на бразильских пользователей. Со временем он внедрил новую технологию, использующую UIA для сбора учётных данных, связанных с широким спектром банковских и криптовалютных платформ.
Оглавление
Легальные инструменты стали вредоносными
UIA является частью Microsoft .NET Framework и изначально была разработана для взаимодействия вспомогательных технологий, таких как программы экранного доступа, с элементами пользовательского интерфейса настольных приложений. Однако её возможности оказались палкой о двух концах. В декабре 2024 года эксперты по безопасности представили экспериментальное доказательство, демонстрирующее потенциальную возможность использования UIA для кражи данных и несанкционированного выполнения кода.
Теперь Coyote воплотил теорию в жизнь. Подобно банковским троянам Android, которые используют службы доступности для сбора конфиденциальной информации, Coyote манипулирует UIA для навигации по элементам приложения и извлечения ценных учётных данных.
Как Койот охотится за данными
Троян начинает сбор данных, используя функцию Windows API GetForegroundWindow() для определения текущего активного окна. Затем он сравнивает заголовок этого окна с жёстко заданным списком, содержащим веб-адреса 75 целевых банков и криптовалютных бирж. Это число выросло с 73 целей в начале 2025 года.
Если заголовок окна не соответствует ни одному элементу в списке, Coyote меняет тактику. Он использует UIA для анализа дочерних элементов интерфейса активного окна, пытаясь найти вкладки браузера или адресные строки. Содержимое этих элементов интерфейса снова проверяется по тому же целевому списку.
Расширение возможностей и скрытных функций
Coyote оснащен дополнительными функциями наблюдения, в том числе:
- Регистрация нажатий клавиш для перехвата введенных учетных данных
- Создание снимков экрана для визуальной фиксации действий пользователя
- Атаки с наложением, имитирующие страницы входа в законные банковские системы
Более того, вредоносная программа эффективно функционирует как в онлайн-, так и в офлайн-режиме, обеспечивая работоспособность её механизмов сбора учётных данных независимо от наличия подключения. Такая гибкость повышает её устойчивость и расширяет поверхность атаки.
Почему UIA меняет правила игры для разработчиков вредоносных программ
Обычно доступ к подэлементам другого приложения сложен и требует глубокого понимания структуры целевого программного обеспечения. Используя уязвимость пользовательского интерфейса (UIA), Coyote обходит этот барьер, получая глубокий доступ к внутренним компонентам пользовательского интерфейса приложения с минимальными усилиями. Эта возможность значительно повышает вероятность успешной кражи учётных данных.
Растущая угроза финансовым данным
Внедрение автоматизации пользовательского интерфейса вредоносными программами, такими как Coyote, знаменует собой тревожную эволюцию в использовании легитимных системных функций в качестве оружия. Учитывая, что 75 финансовых учреждений уже находятся под прицелом Coyote, а методология атак постоянно совершенствуется, Coyote подчеркивает острую необходимость в улучшении механизмов мониторинга и защиты от злоупотреблений средствами доступности.
