Зловредният софтуер преминава в нов етап с целенасочено разузнаване чрез функция за достъпност на Windows
Нова версия на банкерския троянец Coyote започна да злоупотребява с Microsoft UI Automation (UIA) – рамка за достъпност, вградена в Windows – за да разпознава кога потребителят посещава банкови сайтове или крипто борси, с цел потенциална кражба на идентификационни данни.
UI Automation е предназначена да подпомага хора с увреждания, като им позволява да взаимодействат с интерфейсите на приложения чрез навигация и управление на визуалните елементи в тях. Всеки потребителски интерфейс (UI) в Windows се организира в т.нар. “UI Automation дърво”, което може да бъде обхождано, анализирано и контролирано чрез специализирани API.
От теория към реална заплаха
Още през декември 2024 г. експерти от Akamai предупредиха, че UIA може да бъде използвано от зловреден код за извличане на чувствителна информация, като подчертаха, че този подход лесно заобикаля системите за защита от тип EDR (Endpoint Detection and Response). Сега същите изследователи потвърждават, че от февруари 2025 г. се наблюдават реални атаки с подобна техника – първи документиран случай на зловреден код, използващ UIA за кражба на данни.
Еволюцията на Coyote
Coyote е банкерски троянец, насочен основно към потребители в Бразилия. Целта му е да открадне данни за вход в 75 конкретно посочени приложения на банки и криптовалутни платформи. Възможностите му включват кейлогинг, фишинг слоеве (overlays) и други класически техники. Новата му версия обаче въвежда допълнителен метод за разпознаване на целите – чрез UIA.
Когато троянецът не може да идентифицира целеви уебсайт по заглавието на прозореца, той използва UIA за да извлече URL адреса директно от потребителския интерфейс на браузъра – например от табове или адресната лента. След това го сравнява със свой вътрешно вграден списък от 75 целеви платформи. Ако не бъде открито съвпадение, Coyote обхожда всички вложени UI елементи на прозореца, за да провери съдържанието им и отново да търси съвпадение със списъка.
Сред набелязаните банки и криптоплатформи са: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Banco Original, Sicredi, Banco do Nordeste, както и платформи като Binance, Electrum, Bitcoin, Foxbit и други.
Само наблюдение – засега
Засега злоупотребата с UIA се използва предимно за разузнаване – установяване на това дали потребителят посещава сайт, представляващ интерес за атакуващите. Въпреки това, Akamai публикува и доказателство на концепцията, което показва, че UIA може лесно да се използва и за извличане на въведени идентификационни данни в реално време.
По-широкият проблем с достъпността и сигурността
Рамките за достъпност по своята същност са създадени да бъдат мощни и широкообхватни – с цел да предоставят пълен контрол над системата на хора със специални нужди. Това обаче отваря врати за злонамерена употреба. Подобен проблем съществува и при Android, където функцията Accessibility Services от години е използвана от мобилни зловредни програми. Google постепенно въведе редица мерки срещу тези злоупотреби, но предизвикателствата остават.
