Variant av Coyote Malware
Windows-banktrojanen känd som Coyote har framstått som den första skadliga virusstammen som observerats missbruka Windows tillgänglighetsramverk, UI Automation (UIA), för att stjäla känslig användardata. Coyote, som ursprungligen avslöjades av cybersäkerhetsforskare 2024, riktar sig främst mot brasilianska användare och har utvecklats för att integrera en ny teknik som utnyttjar UIA för att samla in autentiseringsuppgifter kopplade till ett brett spektrum av bank- och kryptovalutaplattformar.
Innehållsförteckning
Legitima verktyg blev skadliga
UIA är en del av Microsoft .NET Framework och utformades ursprungligen för att hjälpa hjälpmedelstekniker, såsom skärmläsare, att interagera med användargränssnittselement i skrivbordsapplikationer. Dess funktioner har dock visat sig vara ett tveeggat svärd. I december 2024 presenterade säkerhetsexperter ett proof-of-concept som visade att UIA potentiellt skulle kunna utnyttjas för datastöld och obehörig kodkörning.
Nu har Coyote omsatt teori i praktiken. I likhet med Android-banktrojaner som missbrukar tillgänglighetstjänster för att samla in känslig information, manipulerar Coyote UIA för att navigera i applikationselement och extrahera värdefulla inloggningsuppgifter.
Hur prärievargen jagar data
Trojanen börjar sin datainsamlingsprocess genom att använda GetForegroundWindow() Windows API för att avgöra vilket fönster som för närvarande är aktivt. Den jämför sedan fönstrets titel med en hårdkodad lista som innehåller webbadresserna till 75 utvalda banker och kryptovalutabörser, ett antal som har ökat från 73 mål i början av 2025.
Om fönstertiteln inte matchar någon post i listan byter Coyote taktik. Den använder UIA för att analysera underelementen i det aktiva fönstrets gränssnitt och försöker hitta webbläsarflikar eller adressfält. Innehållet i dessa UI-element kontrolleras återigen mot samma mållista.
Utökade funktioner och smygfunktioner
Coyote är utrustad med ytterligare övervakningsfunktioner, inklusive:
- Tangenttryckningsloggning för att fånga upp inmatade autentiseringsuppgifter
- Skärmdumpstagning för att visuellt registrera användaraktivitet
- Overlay-attacker som imiterar legitima bankinloggningssidor
Dessutom fungerar den skadliga programvaran effektivt både online och offline, vilket säkerställer att dess mekanismer för insamling av autentiseringsuppgifter förblir i drift oavsett anslutning. Denna flexibilitet förbättrar dess beständighet och breddar dess attackyta.
Varför UIA är revolutionerande för utvecklare av skadlig kod
Vanligtvis är det komplext att komma åt delelement i en annan applikation och kräver en djupgående förståelse för hur målprogramvaran är strukturerad. Genom att utnyttja UIA kringgår Coyote detta hinder och får djupgående insikt i applikationernas interna UI-komponenter med minimal ansträngning. Denna förmåga ökar avsevärt framgångsgraden för autentiseringsuppgifter.
Det växande hotet mot finansiella data
Att skadlig programvara som Coyote använder UI-automation markerar en oroande utveckling i hur legitima systemfunktioner används som vapen. Med 75 finansinstitut redan i sitt sikte och en stadigt utvecklande attackmetodik, belyser Coyote det akuta behovet av förbättrade övervaknings- och försvarsmekanismer mot missbruk av tillgänglighetsramverk.
