Variant malvéru Coyote
Bankový trójsky kôň systému Windows známy ako Coyote sa ukázal ako prvý pozorovaný kmeň malvéru, ktorý zneužíva systém prístupnosti systému Windows s názvom UI Automation (UIA) na krádež citlivých používateľských údajov. Coyote, ktorý pôvodne odhalili výskumníci v oblasti kybernetickej bezpečnosti v roku 2024, sa zameriava predovšetkým na brazílskych používateľov a vyvinul sa tak, že integruje novú techniku, ktorá využíva UIA na zhromažďovanie prihlasovacích údajov prepojených so širokou škálou bankových a kryptomenových platforiem.
Obsah
Legitímne nástroje sa stali škodlivými
UIA je súčasťou rozhrania Microsoft .NET Framework a pôvodne bola navrhnutá tak, aby pomohla asistenčným technológiám, ako sú čítačky obrazovky, interagovať s prvkami používateľského rozhrania v desktopových aplikáciách. Jej možnosti sa však ukázali ako dvojsečná zbraň. V decembri 2024 predstavili bezpečnostní experti koncept, ktorý preukázal, že UIA by sa mohla potenciálne zneužiť na krádež údajov a neoprávnené spustenie kódu.
Coyote teraz premenil teóriu v praxi. Podobne ako bankové trójske kone pre Android, ktoré zneužívajú služby prístupnosti na zachytávanie citlivých informácií, Coyote manipuluje s UIA na navigáciu v prvkoch aplikácie a získavanie cenných prihlasovacích údajov.
Ako kojot loví dáta
Trójsky kôň začína proces zberu údajov pomocou rozhrania API systému Windows GetForegroundWindow() na určenie, ktoré okno je momentálne aktívne. Následne porovnáva názov daného okna s pevne zakódovaným zoznamom obsahujúcim webové adresy 75 cieľových bánk a búrz s kryptomenami, pričom toto číslo vzrástlo zo 73 cieľov na začiatku roka 2025.
Ak názov okna nezodpovedá žiadnej položke v zozname, Coyote zmení taktiku. Na analýzu podradených prvkov rozhrania aktívneho okna použije UIA a pokúsi sa nájsť karty prehliadača alebo adresné panely. Obsah týchto prvkov používateľského rozhrania sa opäť porovná s rovnakým cieľovým zoznamom.
Rozširujúce sa možnosti a funkcie Stealth
Coyote je vybavený ďalšími funkciami sledovania vrátane:
- Zaznamenávanie stlačení klávesov na zachytenie zadaných prihlasovacích údajov
- Zhotovovanie snímok obrazovky na vizuálne zaznamenanie aktivity používateľa
- Prekrývajúce útoky, ktoré napodobňujú legitímne prihlasovacie stránky bankových služieb
Okrem toho, malvér funguje efektívne v online aj offline režime, čím zabezpečuje, že jeho mechanizmy zhromažďovania poverení zostanú funkčné bez ohľadu na pripojenie. Táto flexibilita zvyšuje jeho odolnosť a rozširuje jeho útočný povrch.
Prečo je UIA prelomová pre vývojárov malvéru
Prístup k podelementom v rámci inej aplikácie je zvyčajne zložitý a vyžaduje si dôkladné pochopenie štruktúry cieľového softvéru. Využitím UIA Coyote túto bariéru obchádza a s minimálnym úsilím získava hlboký prehľad o vnútorných komponentoch používateľského rozhrania aplikácií. Táto schopnosť výrazne zvyšuje úspešnosť krádeže poverení.
Rastúca hrozba pre finančné údaje
Prijatie automatizácie používateľského rozhrania malvérom, ako je Coyote, predstavuje znepokojujúci vývoj v spôsobe, akým sa legitímne funkcie systému zneužívajú ako zbraň. Vzhľadom na to, že Coyote má už 75 finančných inštitúcií v hľadáčiku a neustále sa rozvíjajúcu metodiku útoku, zdôrazňuje naliehavú potrebu lepšieho monitorovania a obranných mechanizmov proti zneužívaniu rámca prístupnosti.
