Coyote恶意软件变种

名为 Coyote 的 Windows 银行木马已成为首个被发现滥用 Windows 辅助功能框架 UI Automation (UIA) 窃取敏感用户数据的恶意软件。Coyote 最初于 2024 年被网络安全研究人员曝光，主要针对巴西用户，并已发展出一种新技术，利用 UIA 窃取与各种银行和加密货币平台相关的凭证。

合法工具变成恶意工具

UIA 是 Microsoft .NET Framework 的一部分，最初旨在帮助辅助技术（例如屏幕阅读器）与桌面应用程序中的用户界面元素进行交互。然而，事实证明，它的功能是一把双刃剑。2024 年 12 月，安全专家提交了一份概念验证 (POC)，证明 UIA 可能被利用来窃取数据和执行未经授权的代码。

如今，Coyote 已将理论付诸实践。与滥用辅助功能来窃取敏感信息的 Android 银行木马类似，Coyote 会操纵 UIA 来导航应用程序元素并提取有价值的凭证。

Coyote 如何搜寻数据

该木马首先使用 GetForegroundWindow() Windows API 确定当前活动窗口，然后开始数据收集过程。之后，它会将该窗口的标题与一个硬编码列表进行比较，该列表包含 75 家目标银行和加密货币交易所的网址，而这个数字已从 2025 年初的 73 个目标增长到现在。

如果窗口标题与列表中的任何条目均不匹配，Coyote 就会切换策略。它会使用 UIA 解析活动窗口界面的子元素，尝试定位浏览器标签页或地址栏。之后，系统会再次根据同一目标列表检查这些 UI 元素的内容。

扩展能力和隐身特性

Coyote 配备了额外的监视功能，包括：

• 记录按键信息以拦截输入的凭证
• 屏幕截图以直观地记录用户活动
• 模仿合法银行登录页面的覆盖攻击

此外，该恶意软件在在线和离线模式下均能有效运行，确保其凭证收集机制无论连接状态如何都能保持有效。这种灵活性增强了其持久性，并扩大了其攻击面。

UIA 为何能改变恶意软件开发者的游戏规则

通常，访问另一个应用程序中的子元素非常复杂，需要深入了解目标软件的结构。通过利用 UIA，Coyote 绕过了这一障碍，以最小的努力深入了解应用程序的内部 UI 组件。这种能力显著提高了凭证窃取的成功率。

金融数据面临的威胁日益加剧

像 Coyote 这样的恶意软件对 UI 自动化的采用，标志着合法系统功能被武器化的方式发生了令人担忧的演变。Coyote 已将 75 家金融机构纳入攻击范围，且攻击方法稳步推进，凸显了改进监控和防御机制以防范可访问性框架滥用的迫切需求。