Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Банковский троян Coyote ворует данные, имитируя работу с интерфейсом (http://txgate.io:443/showthread.php?t=51302382)

Artifact 08-05-2025 10:45 PM
<div id="post_message_807620">

Новый вариант банкера Coyote эксплуатирует функции специальных возможностей в Windows, а именно — фреймворк Microsoft UI Automation. Таким способом вредонос обнаруживает сайты банков и криптовалютных бирж, которые посещает пользователь, и похищает учетные данные.<br/>
<br/>
Microsoft UIA — это фреймворк, предназначенный для того, чтобы вспомогательные технологии могли взаимодействовать с элементами интерфейса Windows-приложений: считывать их свойства, управлять ими, отслеживать изменения. Приложения представляют свою структуру в виде дерева UI Automation, а API UIA позволяет просматривать его, получать данные об элементах интерфейса и взаимодействовать с ними, эмулируя действия пользователя. Все это сделано для того, чтобы люди с ограниченными возможностями могли в полной мере использовать все возможности своих устройств.<br/>
<br/>
Еще в декабре 2024 года специалисты компании Akamai <a href="https://www.akamai.com/blog/security-research/windows-ui-automation-attack-technique-evades-edr" target="_blank">предупреждали</a>, что UIA можно использовать для кражи учетных данных, подчеркивая, что эта техника позволит обойти защиту EDR в любой версии Windows, начиная с XP.<br/>
<br/>
Теперь в Akamai <a href="https://www.akamai.com/blog/security-research/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild" target="_blank">сообщили</a>, что их прогнозы сбываются: с февраля 2025 года эксперты наблюдают реальные атаки с применением этой техники, и это первый известный случай, когда малварь злоупотребляет возможностями Microsoft UIA для кражи данных.<br/>
<br/>
Банковский троян Coyote <a href="https://securelist.com/coyote-multi-stage-banking-trojan/111846/" target="_blank">активен </a>с февраля 2024 года. Этот вредонос стремится похитить учетные данные из 75 банковских и криптовалютных приложений, в основном нацеливаясь на пользователей из Бразилии. Когда малварь обнаружили впервые, она использовала кейлоггинг и фишинговые оверлеи, но с тех пор Coyote претерпел значительные изменения.<br/>
<br/>
По словам исследователей, новая версия Coyote продолжает воровать данные традиционными методами, но также в код вредоноса добавились функции для злоупотребления UIA, которые используются, когда пользователь открывает в браузере банковские или криптовалютные сервисы.<br/>
<br/>
Так, если Coyote не может определить объект по заголовку окна, он использует UIA для извлечения веб-адреса из UI-элементов браузера (вкладки или адресной строки). Затем он сравнивает полученный результат с жестко закодированным списком из 75 целевых сервисов.<br/>
<br/>
Среди банков и бирж, которые Coyote ищет с помощью этого метода: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original bank, Sicredi, Banco do Nordeste, Expanse, а также Binance, Electrum, Bitcoin, Foxbit и другие.<br/>
<br/>
Хотя в данном случае злоупотребление UIA ограничивается лишь фазой разведки, специалисты Akamai продемонстрировали, что UIA можно использоваться и для фактической кражи учетных данных с целевых сайтов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/542924/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild-four.gif"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Парсинг вложенных элементов другого приложения без UIA — нетривиальная задача, — говорят исследователи. — Чтобы эффективно читать содержимое вложенных элементов другого приложения, разработчик должен хорошо понимать, как устроено конкретное целевое приложение. Coyote может выполнять проверки независимо от того, находится ли вредоносное ПО в режиме онлайн или офлайн. Это повышает шансы на успешную идентификацию банка или криптовалютной биржи для кражи учетных данных».</font>
</td>
</tr>
</table>
</div>Эксперты напоминают, что в Android проблема злоупотребления Accessibility Services стоит очень остро и давно приобрела массовый характер.<br/>
<br/>
<a href="https://xakep.ru/2025/07/24/coyote-uia" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 07:32 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.