Variant ng Coyote Malware
Ang Windows banking trojan na kilala bilang Coyote ay lumitaw bilang ang unang malware strain na naobserbahang umaabuso sa Windows accessibility framework, UI Automation (UIA), upang magnakaw ng sensitibong data ng user. Una nang inilantad ng mga mananaliksik sa cybersecurity noong 2024, pangunahing tina-target ng Coyote ang mga Brazilian na user at umunlad ito upang isama ang isang nobelang pamamaraan na gumagamit ng UIA upang makakuha ng mga kredensyal na nakatali sa isang malawak na hanay ng mga platform ng pagbabangko at cryptocurrency.
Talaan ng mga Nilalaman
Ang Mga Lehitimong Tool ay Naging Malisyoso
Ang UIA ay bahagi ng Microsoft .NET Framework at orihinal na idinisenyo upang tulungan ang mga pantulong na teknolohiya, gaya ng mga screen reader, na makipag-ugnayan sa mga elemento ng user interface sa mga desktop application. Gayunpaman, ang mga kakayahan nito ay napatunayang isang tabak na may dalawang talim. Noong Disyembre 2024, ipinakita ng mga eksperto sa seguridad ang isang patunay ng konsepto na nagpapakita na ang UIA ay posibleng mapagsamantalahan para sa pagnanakaw ng data at hindi awtorisadong pagpapatupad ng code.
Ngayon, isinabuhay ni Coyote ang teorya. Katulad ng mga Android banking trojan na gumagamit ng maling serbisyo sa pagiging naa-access upang kumuha ng sensitibong impormasyon, minamanipula ng Coyote ang UIA upang mag-navigate sa mga elemento ng application at kumuha ng mahahalagang kredensyal.
Paano Humahanap ng Data ang Coyote
Sinisimulan ng trojan ang proseso ng pagkuha ng data nito sa pamamagitan ng paggamit ng GetForegroundWindow() Windows API upang matukoy kung aling window ang kasalukuyang aktibo. Pagkatapos ay ikinukumpara nito ang pamagat ng window na iyon laban sa isang hard-coded na listahan na naglalaman ng mga web address ng 75 target na bangko at cryptocurrency exchange, isang numero na lumaki mula sa 73 na target noong unang bahagi ng 2025.
Kung hindi tumugma ang pamagat ng window sa anumang entry sa listahan, lilipat ng mga taktika si Coyote. Gumagamit ito ng UIA para i-parse ang mga child element ng interface ng aktibong window, sinusubukang hanapin ang mga tab ng browser o address bar. Ang nilalaman ng mga elemento ng UI na ito ay muling sinusuri laban sa parehong listahan ng target.
Pagpapalawak ng Mga Kakayahan at Stealth Features
Ang Coyote ay nilagyan ng karagdagang mga function ng pagsubaybay, kabilang ang:
- Keystroke logging upang maharang ang mga na-type na kredensyal
- Pagkuha ng screenshot upang biswal na maitala ang aktibidad ng user
- Mga overlay na pag-atake na ginagaya ang mga lehitimong pahina sa pag-login sa pagbabangko
Higit pa rito, epektibong gumagana ang malware sa parehong online at offline na mga mode, na tinitiyak na mananatiling gumagana ang mga mekanismo ng pag-aani ng kredensyal nito anuman ang pagkakakonekta. Pinahuhusay ng flexibility na ito ang pagtitiyaga nito at pinapalawak ang surface ng pag-atake nito.
Bakit ang UIA ay isang Game-Changer para sa mga Developer ng Malware
Karaniwan, ang pag-access sa mga sub-element sa loob ng isa pang application ay kumplikado, na nangangailangan ng malalim na pag-unawa sa kung paano nakabalangkas ang target na software. Sa pamamagitan ng pagsasamantala sa UIA, iniiwasan ng Coyote ang hadlang na ito, na nagkakaroon ng malalim na kakayahang makita sa mga panloob na bahagi ng UI ng mga application na may kaunting pagsisikap. Ang kakayahang ito ay makabuluhang pinapataas ang rate ng tagumpay ng pagnanakaw ng kredensyal.
Ang Lumalagong Banta sa Data ng Pinansyal
Ang pagpapatibay ng UI Automation ng malware tulad ng Coyote ay nagmamarka ng nakakabagabag na ebolusyon sa kung paano ginagamit ang mga lehitimong feature ng system. Sa 75 na institusyong pampinansyal na nasa mga crosshair nito at patuloy na sumusulong na pamamaraan ng pag-atake, itinatampok ng Coyote ang agarang pangangailangan para sa pinahusay na pagsubaybay at mga mekanismo ng pagtatanggol laban sa pag-abuso sa balangkas ng accessibility.
