Варијанта злонамерног софтвера Coyote

Тројански вирус за Windows банкарство, познат као Coyote, појавио се као први примећени сој малвера који злоупотребљава Windows оквир за приступачност, UI Automation (UIA), за крађу осетљивих корисничких података. Првобитно откривен од стране истраживача сајбер безбедности 2024. године, Coyote је првенствено усмерен на бразилске кориснике и еволуирао је тако да интегрише нову технику која користи UIA за прикупљање акредитива повезаних са широким спектром банкарских и криптовалутних платформи.

Легитимни алати постали злонамерни

УИА је део Мајкрософтовог .НЕТ Фрејмворка и првобитно је дизајниран да помогне асистивним технологијама, као што су читачи екрана, да комуницирају са елементима корисничког интерфејса у десктоп апликацијама. Међутим, његове могућности су се показале као мач са две оштрице. У децембру 2024. године, стручњаци за безбедност представили су доказ концепта који показује да УИА потенцијално може бити искоришћена за крађу података и неовлашћено извршавање кода.

Сада је Којот теорију применио у пракси. Слично тројанцима за Андроид који злоупотребљавају сервисе приступачности за хватање осетљивих информација, Којот манипулише УИА-ом како би се кретао кроз елементе апликације и извукао вредне акредитиве.

Како Којот лови податке

Тројанац започиње процес прикупљања података користећи GetForegroundWindow() Windows API како би утврдио који је прозор тренутно активан. Затим упоређује наслов тог прозора са чврсто кодираном листом која садржи веб адресе 75 циљаних банака и берзи криптовалута, број који је порастао са 73 мете почетком 2025. године.

Ако наслов прозора не одговара ниједном уносу на листи, Којот мења тактику. Користи UIA да би анализирао подређене елементе интерфејса активног прозора, покушавајући да пронађе картице прегледача или адресне траке. Садржај ових UI елемената се поново проверава у односу на исту циљну листу.

Проширивање могућности и скривених функција

Којот је опремљен додатним функцијама надзора, укључујући:

• Забележавање откуцаја тастера ради пресретања унетих акредитива
• Снимање екрана ради визуелног снимања активности корисника
• Напади преко које се имитирају легитимне странице за пријаву на банкарске услуге

Штавише, злонамерни софтвер ефикасно функционише и у онлајн и у офлајн режиму, осигуравајући да његови механизми за прикупљање акредитива остану оперативни без обзира на повезаност. Ова флексибилност побољшава његову истрајност и проширује површину напада.

Зашто је UIA прекретница за програмере злонамерног софтвера

Обично је приступање поделементима унутар друге апликације сложено и захтева детаљно разумевање структуре циљног софтвера. Искоришћавањем UIA, Coyote заобилази ову баријеру, добијајући дубок увид у унутрашње компоненте корисничког интерфејса апликација уз минималан напор. Ова способност значајно повећава стопу успеха крађе акредитива.

Растућа претња финансијским подацима

Усвајање аутоматизације корисничког интерфејса од стране злонамерног софтвера попут Coyote-а означава забрињавајућу еволуцију у начину на који се легитимне системске функције користе као оружје. Са 75 финансијских институција које су већ на мети и стално напредујућом методологијом напада, Coyote истиче хитну потребу за побољшаним праћењем и одбрамбеним механизмима против злоупотребе оквира за приступачност.