Biến thể phần mềm độc hại Coyote

Trojan ngân hàng Windows, được gọi là Coyote, đã nổi lên như một biến thể phần mềm độc hại đầu tiên được phát hiện lợi dụng khung trợ năng UI Automation (UIA) của Windows để đánh cắp dữ liệu nhạy cảm của người dùng. Ban đầu bị các nhà nghiên cứu an ninh mạng phát hiện vào năm 2024, Coyote chủ yếu nhắm mục tiêu vào người dùng Brazil và đã phát triển để tích hợp một kỹ thuật mới tận dụng UIA để thu thập thông tin đăng nhập liên quan đến nhiều nền tảng ngân hàng và tiền điện tử.

Công cụ hợp pháp trở nên độc hại

UIA là một phần của Microsoft .NET Framework và ban đầu được thiết kế để hỗ trợ các công nghệ hỗ trợ, chẳng hạn như trình đọc màn hình, tương tác với các thành phần giao diện người dùng trong các ứng dụng máy tính để bàn. Tuy nhiên, khả năng của nó đã được chứng minh là một con dao hai lưỡi. Vào tháng 12 năm 2024, các chuyên gia bảo mật đã trình bày một bằng chứng khái niệm chứng minh rằng UIA có khả năng bị khai thác để đánh cắp dữ liệu và thực thi mã trái phép.

Giờ đây, Coyote đã đưa lý thuyết vào thực tiễn. Tương tự như trojan ngân hàng Android lạm dụng dịch vụ trợ năng để thu thập thông tin nhạy cảm, Coyote thao túng UIA để điều hướng các thành phần ứng dụng và trích xuất thông tin đăng nhập có giá trị.

Cách chó sói săn dữ liệu

Trojan bắt đầu quá trình thu thập dữ liệu bằng cách sử dụng API Windows GetForegroundWindow() để xác định cửa sổ nào đang hoạt động. Sau đó, nó so sánh tiêu đề của cửa sổ đó với danh sách được mã hóa cứng chứa địa chỉ web của 75 ngân hàng và sàn giao dịch tiền điện tử bị nhắm mục tiêu, một con số đã tăng từ 73 mục tiêu vào đầu năm 2025.

Nếu tiêu đề cửa sổ không khớp với bất kỳ mục nào trong danh sách, Coyote sẽ chuyển hướng chiến thuật. Nó sử dụng UIA để phân tích các phần tử con của giao diện cửa sổ đang hoạt động, cố gắng xác định vị trí các tab trình duyệt hoặc thanh địa chỉ. Nội dung của các phần tử UI này lại được kiểm tra với cùng danh sách mục tiêu.

Mở rộng khả năng và tính năng tàng hình

Coyote được trang bị các chức năng giám sát bổ sung, bao gồm:

• Ghi lại thao tác gõ phím để chặn thông tin đăng nhập đã nhập
• Chụp ảnh màn hình để ghi lại hoạt động của người dùng một cách trực quan
• Các cuộc tấn công phủ lớp mô phỏng các trang đăng nhập ngân hàng hợp pháp

Hơn nữa, phần mềm độc hại này hoạt động hiệu quả ở cả chế độ trực tuyến và ngoại tuyến, đảm bảo cơ chế thu thập thông tin đăng nhập của nó vẫn hoạt động bất kể kết nối. Tính linh hoạt này giúp tăng cường khả năng tồn tại và mở rộng phạm vi tấn công.

Tại sao UIA là công cụ thay đổi cuộc chơi cho các nhà phát triển phần mềm độc hại

Thông thường, việc truy cập các thành phần phụ trong một ứng dụng khác rất phức tạp, đòi hỏi sự hiểu biết sâu sắc về cấu trúc phần mềm mục tiêu. Bằng cách khai thác UIA, Coyote đã vượt qua rào cản này, có được khả năng hiển thị sâu sắc các thành phần UI bên trong của ứng dụng với nỗ lực tối thiểu. Khả năng này làm tăng đáng kể tỷ lệ thành công của việc đánh cắp thông tin đăng nhập.

Mối đe dọa ngày càng tăng đối với dữ liệu tài chính

Việc phần mềm độc hại như Coyote áp dụng Tự động hóa Giao diện Người dùng (UI Automation) đánh dấu một bước tiến đáng lo ngại về cách các tính năng hệ thống hợp pháp đang bị lợi dụng. Với 75 tổ chức tài chính nằm trong tầm ngắm và phương pháp tấn công ngày càng tiên tiến, Coyote nhấn mạnh nhu cầu cấp thiết về việc cải thiện giám sát và cơ chế phòng thủ chống lại việc lạm dụng khuôn khổ trợ năng.