Coyote惡意軟體變種

名為 Coyote 的 Windows 銀行木馬已成為首個被發現濫用 Windows 輔助功能框架 UI Automation (UIA) 竊取敏感使用者資料的惡意軟體。 Coyote 最初於 2024 年被網路安全研究人員曝光，主要針對巴西用戶，並已發展出一種新技術，利用 UIA 竊取與各種銀行和加密貨幣平台相關的憑證。

合法工具變成惡意工具

UIA 是 Microsoft .NET Framework 的一部分，最初旨在幫助輔助技術（例如螢幕閱讀器）與桌面應用程式中的使用者介面元素進行互動。然而，事實證明，它的功能是一把雙面刃。 2024 年 12 月，安全專家提交了一份概念驗證 (POC)，證明 UIA 可能被利用來竊取資料和執行未經授權的程式碼。

如今，Coyote 已將理論付諸實踐。與濫用輔助功能來竊取敏感資訊的 Android 銀行木馬類似，Coyote 會操縱 UIA 來導航應用程式元素並提取有價值的憑證。

Coyote 如何搜尋數據

木馬首先使用 GetForegroundWindow() Windows API 確定目前活動窗口，然後開始資料收集程序。之後，它會將該視窗的標題與一個硬編碼清單進行比較，該清單包含 75 家目標銀行和加密貨幣交易所的網址，而這個數字已從 2025 年初的 73 個目標增長到現在。

如果視窗標題與清單中的任何項目均不匹配，Coyote 就會切換策略。它會使用 UIA 解析活動視窗介面的子元素，嘗試定位瀏覽器標籤頁或網址列。之後，系統會再次根據相同目標清單檢查這些 UI 元素的內容。

擴展能力和隱身特性

Coyote 配備了額外的監視功能，包括：

• 記錄按鍵資訊以攔截輸入的憑證
• 螢幕截圖以直觀地記錄用戶活動
• 模仿合法銀行登入頁面的覆蓋攻擊

此外，該惡意軟體在線上和離線模式下均能有效運作，確保其憑證收集機制無論連線狀態如何都能保持有效。這種靈活性增強了其持久性，並擴大了其攻擊面。

UIA 為何能改變惡意軟體開發者的遊戲規則

通常，存取另一個應用程式中的子元素非常複雜，需要深入了解目標軟體的結構。透過利用 UIA，Coyote 繞過了這一障礙，以最小的努力深入了解應用程式的內部 UI 元件。這種能力顯著提高了憑證竊取的成功率。

金融數據面臨的威脅日益加劇

像 Coyote 這樣的惡意軟體對 UI 自動化的採用，標誌著合法系統功能被武器化的方式發生了令人擔憂的演進。 Coyote 已將 75 家金融機構納入攻擊範圍，且攻擊方法穩步推進，凸顯了改進監控和防禦機制以防範可訪問性框架濫用的迫切需求。