Coyote Kötü Amaçlı Yazılım Varyantı

Coyote olarak bilinen Windows bankacılık truva atı, hassas kullanıcı verilerini çalmak için Windows erişilebilirlik çerçevesi UI Automation'ı (UIA) kötüye kullanan ilk kötü amaçlı yazılım türü olarak ortaya çıktı. Siber güvenlik araştırmacıları tarafından ilk olarak 2024 yılında ortaya çıkarılan Coyote, öncelikle Brezilyalı kullanıcıları hedef alıyor ve çok çeşitli bankacılık ve kripto para birimi platformlarına bağlı kimlik bilgilerini toplamak için UIA'dan yararlanan yeni bir tekniği entegre edecek şekilde geliştirildi.

Meşru Araçlar Kötü Amaçlı Hale Geldi

UIA, Microsoft .NET Framework'ün bir parçasıdır ve başlangıçta ekran okuyucular gibi yardımcı teknolojilerin masaüstü uygulamalarındaki kullanıcı arayüzü öğeleriyle etkileşim kurmasına yardımcı olmak üzere tasarlanmıştır. Ancak, yeteneklerinin iki ucu keskin bir kılıç olduğu kanıtlanmıştır. Aralık 2024'te güvenlik uzmanları, UIA'nın veri hırsızlığı ve yetkisiz kod yürütme için potansiyel olarak istismar edilebileceğini gösteren bir kavram kanıtı sunmuştur.

Coyote artık teoriyi pratiğe döküyor. Hassas bilgileri ele geçirmek için erişilebilirlik hizmetlerini kötüye kullanan Android bankacılık trojanlarına benzer şekilde, Coyote de uygulama öğelerinde gezinmek ve değerli kimlik bilgilerini elde etmek için UIA'yı manipüle ediyor.

Çakal Veriyi Nasıl Avlar?

Truva atı, hangi pencerenin etkin olduğunu belirlemek için GetForegroundWindow() Windows API'sini kullanarak veri toplama sürecine başlar. Ardından, söz konusu pencerenin başlığını, 2025 başlarında 73 hedeften artarak 75 hedef banka ve kripto para borsasının web adreslerini içeren sabit kodlu bir listeyle karşılaştırır.

Pencere başlığı listedeki herhangi bir girdiyle eşleşmezse, Coyote taktik değiştirir. Etkin pencerenin arayüzünün alt öğelerini ayrıştırmak için UIA kullanır ve tarayıcı sekmelerini veya adres çubuklarını bulmaya çalışır. Bu kullanıcı arayüzü öğelerinin içeriği aynı hedef listeyle tekrar kontrol edilir.

Genişleyen Yetenekler ve Gizli Özellikler

Coyote, aşağıdakiler de dahil olmak üzere ek gözetleme işlevleriyle donatılmıştır:

• Yazılan kimlik bilgilerini yakalamak için tuş vuruşu kaydı
• Kullanıcı etkinliğini görsel olarak kaydetmek için ekran görüntüsü yakalama
• Meşru bankacılık oturum açma sayfalarını taklit eden üst üste bindirme saldırıları

Üstelik, kötü amaçlı yazılım hem çevrimiçi hem de çevrimdışı modlarda etkili bir şekilde çalışarak, kimlik bilgisi toplama mekanizmalarının bağlantıdan bağımsız olarak çalışır durumda kalmasını sağlar. Bu esneklik, kalıcılığını artırır ve saldırı yüzeyini genişletir.

UIA Neden Kötü Amaçlı Yazılım Geliştiricileri İçin Oyunu Değiştiren Bir Araçtır?

Normalde, başka bir uygulama içindeki alt öğelere erişmek karmaşıktır ve hedef yazılımın nasıl yapılandırıldığının derinlemesine anlaşılmasını gerektirir. Coyote, UIA'yı kullanarak bu engeli aşar ve minimum çabayla uygulamaların dahili kullanıcı arayüzü bileşenlerine derinlemesine görünürlük sağlar. Bu yetenek, kimlik bilgisi hırsızlığının başarı oranını önemli ölçüde artırır.

Finansal Verilere Yönelik Artan Tehdit

Coyote gibi kötü amaçlı yazılımların UI Otomasyonunu benimsemesi, meşru sistem özelliklerinin nasıl silaha dönüştürüldüğü konusunda endişe verici bir evrimi işaret ediyor. 75 finans kuruluşunu hedef alan ve sürekli gelişen bir saldırı metodolojisine sahip olan Coyote, erişilebilirlik çerçevesinin kötüye kullanımına karşı geliştirilmiş izleme ve savunma mekanizmalarına acil ihtiyaç olduğunu vurguluyor.