Različica zlonamerne programske opreme Coyote
Bančni trojanec za Windows, znan kot Coyote, se je izkazal kot prvi opaženi sev zlonamerne programske opreme, ki zlorablja ogrodje za dostopnost sistema Windows, UI Automation (UIA), za krajo občutljivih uporabniških podatkov. Coyote, ki so ga raziskovalci kibernetske varnosti prvotno razkrili leta 2024, cilja predvsem na brazilske uporabnike in se je razvil v novo tehniko, ki izkorišča UIA za zbiranje poverilnic, povezanih s široko paleto bančnih in kriptovalutnih platform.
Kazalo
Zakonita orodja so postala zlonamerna
UIA je del ogrodja Microsoft .NET Framework in je bil prvotno zasnovan za pomoč podpornim tehnologijam, kot so bralniki zaslona, pri interakciji z elementi uporabniškega vmesnika v namiznih aplikacijah. Vendar so se njegove zmogljivosti izkazale za dvorezen meč. Decembra 2024 so varnostni strokovnjaki predstavili dokaz koncepta, ki dokazuje, da bi se UIA lahko potencialno izkoristila za krajo podatkov in nepooblaščeno izvajanje kode.
Zdaj je Coyote teorijo prenesel v prakso. Podobno kot bančni trojanci za Android, ki zlorabljajo storitve dostopnosti za zajemanje občutljivih informacij, Coyote manipulira z UIA za navigacijo po elementih aplikacije in pridobivanje dragocenih poverilnic.
Kako kojot išče podatke
Trojanec začne postopek zbiranja podatkov z uporabo Windows API-ja GetForegroundWindow(), da ugotovi, katero okno je trenutno aktivno. Nato primerja naslov tega okna s kodiranim seznamom, ki vsebuje spletne naslove 75 ciljnih bank in borz kriptovalut, kar je število, ki se je povečalo s 73 ciljev v začetku leta 2025.
Če se naslov okna ne ujema z nobenim vnosom na seznamu, Coyote spremeni taktiko. Z uporabo UIA razčleni podrejene elemente vmesnika aktivnega okna in poskuša najti zavihke brskalnika ali naslovne vrstice. Vsebina teh elementov uporabniškega vmesnika se ponovno preveri glede na isti ciljni seznam.
Razširitev zmogljivosti in funkcij prikritosti
Coyote je opremljen z dodatnimi nadzornimi funkcijami, vključno z:
- Beleženje pritiskov tipk za prestrezanje vnesenih poverilnic
- Zajem zaslona za vizualno beleženje uporabniške aktivnosti
- Prekrivajoči napadi, ki posnemajo legitimne strani za prijavo v bančništvo
Poleg tega zlonamerna programska oprema učinkovito deluje tako v spletnem kot v nespletnem načinu, kar zagotavlja, da njeni mehanizmi za pridobivanje poverilnic ostanejo delujoči ne glede na povezljivost. Ta prilagodljivost povečuje njeno obstojnost in širi njeno površino napada.
Zakaj je UIA prelomnica za razvijalce zlonamerne programske opreme
Običajno je dostop do podelementov znotraj druge aplikacije zapleten in zahteva poglobljeno razumevanje strukture ciljne programske opreme. Z izkoriščanjem UIA Coyote zaobide to oviro in z minimalnim naporom pridobi globok vpogled v notranje komponente uporabniškega vmesnika aplikacij. Ta sposobnost znatno poveča stopnjo uspešnosti kraje poverilnic.
Naraščajoča grožnja finančnim podatkom
Uporaba avtomatizacije uporabniškega vmesnika s strani zlonamerne programske opreme, kot je Coyote, pomeni zaskrbljujoč razvoj v tem, kako se legitimne sistemske funkcije izkoriščajo za orožje. Ker je na muhi že 75 finančnih institucij, metodologija napadov pa se nenehno razvija, Coyote poudarja nujno potrebo po izboljšanem spremljanju in obrambnih mehanizmih proti zlorabi ogrodja za dostopnost.
