Варіант шкідливого програмного забезпечення Coyote
Банківський троян для Windows, відомий як Coyote, став першим штамом шкідливого програмного забезпечення, який зловживає системою доступності Windows, UI Automation (UIA), для крадіжки конфіденційних даних користувачів. Спочатку виявлений дослідниками з кібербезпеки у 2024 році, Coyote в основному націлений на бразильських користувачів і еволюціонував, щоб інтегрувати нову техніку, яка використовує UIA для збору облікових даних, пов'язаних з широким спектром банківських та криптовалютних платформ.
Зміст
Законні інструменти стали шкідливими
UIA є частиною Microsoft .NET Framework і спочатку була розроблена для допомоги допоміжним технологіям, таким як програми зчитування з екрана, у взаємодії з елементами інтерфейсу користувача в настільних програмах. Однак її можливості виявилися палицею з двома кінцями. У грудні 2024 року експерти з безпеки представили підтвердження концепції, яке демонструє, що UIA потенційно може бути використана для крадіжки даних та несанкціонованого виконання коду.
Тепер Coyote застосував теорію на практиці. Подібно до банківських троянів Android, які зловживають службами доступності для збору конфіденційної інформації, Coyote маніпулює UIA для навігації елементами програми та отримання цінних облікових даних.
Як Койот полює за даними
Троян починає процес збору даних, використовуючи API Windows GetForegroundWindow(), щоб визначити, яке вікно наразі активне. Потім він порівнює заголовок цього вікна з жорстко закодованим списком, що містить веб-адреси 75 цільових банків та криптовалютних бірж, кількість яких зросла з 73 цілей на початку 2025 року.
Якщо заголовок вікна не відповідає жодному запису у списку, Coyote змінює тактику. Він використовує UIA для аналізу дочірніх елементів інтерфейсу активного вікна, намагаючись знайти вкладки браузера або адресні рядки. Вміст цих елементів інтерфейсу знову перевіряється на відповідність тому ж цільовому списку.
Розширення можливостей та функцій прихованості
Койот оснащений додатковими функціями спостереження, включаючи:
- Реєстрація натискань клавіш для перехоплення введених облікових даних
- Знімок екрана для візуального запису активності користувача
- Оверлейні атаки, що імітують законні сторінки входу в банківські послуги
Більше того, шкідливе програмне забезпечення ефективно функціонує як в онлайн, так і в офлайн режимах, забезпечуючи працездатність його механізмів збору облікових даних незалежно від підключення. Ця гнучкість підвищує його стійкість та розширює область атаки.
Чому UIA змінює правила гри для розробників шкідливого програмного забезпечення
Зазвичай доступ до піделементів в іншій програмі є складним і вимагає глибокого розуміння структури цільового програмного забезпечення. Використовуючи UIA, Coyote обходить цей бар'єр, отримуючи глибокий доступ до внутрішніх компонентів інтерфейсу користувача програм з мінімальними зусиллями. Ця здатність значно підвищує рівень успішності крадіжки облікових даних.
Зростаюча загроза фінансовим даним
Впровадження автоматизації інтерфейсу користувача шкідливим програмним забезпеченням, таким як Coyote, знаменує собою тривожну еволюцію у використанні легітимних системних функцій як зброї. З огляду на те, що 75 фінансових установ вже перебувають під прицілом, а методологія атак постійно розвивається, Coyote підкреслює нагальну потребу в покращенні механізмів моніторингу та захисту від зловживань фреймворком доступності.
