Varianti i Malware Coyote

Trojani bankar i Windows, i njohur si Coyote, është shfaqur si lloji i parë i malware-it i vërejtur që abuzon me kornizën e aksesueshmërisë së Windows, UI Automation (UIA), për të vjedhur të dhëna të ndjeshme të përdoruesve. Fillimisht i ekspozuar nga studiuesit e sigurisë kibernetike në vitin 2024, Coyote synon kryesisht përdoruesit brazilianë dhe ka evoluar për të integruar një teknikë të re që shfrytëzon UIA për të mbledhur kredencialet e lidhura me një gamë të gjerë platformash bankare dhe kriptomonedhash.

Mjete të ligjshme të kthyera në keqdashëse

UIA është pjesë e Microsoft .NET Framework dhe fillimisht u krijua për të ndihmuar teknologjitë ndihmëse, të tilla si lexuesit e ekranit, të bashkëveprojnë me elementët e ndërfaqes së përdoruesit në aplikacionet desktop. Megjithatë, aftësitë e saj kanë provuar të jenë një shpatë me dy tehe. Në dhjetor 2024, ekspertët e sigurisë paraqitën një provë koncepti që tregonte se UIA mund të shfrytëzohej potencialisht për vjedhje të dhënash dhe ekzekutim të paautorizuar të kodit.

Tani, Coyote e ka vënë teorinë në praktikë. Ngjashëm me trojanët bankarë të Android që keqpërdorin shërbimet e aksesueshmërisë për të kapur informacione të ndjeshme, Coyote manipulon UIA për të lundruar në elementët e aplikacionit dhe për të nxjerrë kredenciale të vlefshme.

Si Kojoti Kërkon të Dhëna

Trojani e fillon procesin e mbledhjes së të dhënave duke përdorur API-në e Windows GetForegroundWindow() për të përcaktuar se cila dritare është aktualisht aktive. Pastaj krahason titullin e asaj dritareje me një listë të koduar që përmban adresat e internetit të 75 bankave dhe bursave të kriptomonedhave të synuara, një numër që është rritur nga 73 objektiva në fillim të vitit 2025.

Nëse titulli i dritares nuk përputhet me asnjë zë në listë, Coyote ndryshon taktikë. Ai përdor UIA për të analizuar elementët fëmijë të ndërfaqes së dritares aktive, duke u përpjekur të gjejë skedat e shfletuesit ose shiritat e adresave. Përmbajtja e këtyre elementëve të ndërfaqes së përdoruesit kontrollohet përsëri kundrejt të njëjtës listë objektivi.

Zgjerimi i Aftësive dhe Karakteristikat e Fshehta

Coyote është i pajisur me funksione shtesë mbikëqyrjeje, duke përfshirë:

• Regjistrimi i shtypjes së tastierës për të kapur kredencialet e shtypura
• Kapja e ekranit të ekranit për të regjistruar vizualisht aktivitetin e përdoruesit
• Sulme mbivendosëse që imitojnë faqet legjitime të hyrjes në banka

Për më tepër, programi keqdashës funksionon në mënyrë efektive si në modalitetin online ashtu edhe jashtë linje, duke siguruar që mekanizmat e tij të mbledhjes së kredencialeve të mbeten funksionalë pavarësisht nga lidhja. Ky fleksibilitet rrit qëndrueshmërinë e tij dhe zgjeron sipërfaqen e sulmit.

Pse UIA është një ndryshues i lojës për zhvilluesit e programeve keqdashëse

Zakonisht, qasja në nën-elementë brenda një aplikacioni tjetër është komplekse, duke kërkuar një kuptim të thellë se si është strukturuar softueri i synuar. Duke shfrytëzuar UIA-n, Coyote anashkalon këtë pengesë, duke fituar shikueshmëri të thellë në komponentët e brendshëm të UI-së së aplikacioneve me përpjekje minimale. Kjo aftësi rrit ndjeshëm shkallën e suksesit të vjedhjes së kredencialeve.

Kërcënimi në rritje për të dhënat financiare

Përvetësimi i Automatizimit të Ndërfaqes së Përdoruesit (UI Automation) nga programe keqdashëse si Coyote shënon një evolucion shqetësues në mënyrën se si veçoritë legjitime të sistemit po përdoren si armë. Me 75 institucione financiare tashmë në shënjestër dhe një metodologji sulmi që po përparon vazhdimisht, Coyote thekson nevojën urgjente për mekanizma të përmirësuar monitorimi dhe mbrojtës kundër abuzimit me kornizën e aksesueshmërisë.