Новый вариант банкера Coyote эксплуатирует функции специальных возможностей в Windows, а именно — фреймворк Microsoft UI Automation. Таким способом вредонос обнаруживает сайты банков и криптовалютных бирж, которые посещает пользователь, и похищает учетные данные.
Microsoft UIA — это фреймворк, предназначенный для того, чтобы вспомогательные технологии могли взаимодействовать с элементами интерфейса Windows-приложений: считывать их свойства, управлять ими, отслеживать изменения. Приложения представляют свою структуру в виде дерева UI Automation, а API UIA позволяет просматривать его, получать данные об элементах интерфейса и взаимодействовать с ними, эмулируя действия пользователя. Все это сделано для того, чтобы люди с ограниченными возможностями могли в полной мере использовать все возможности своих устройств.
Еще в декабре 2024 года специалисты компании Akamai
предупреждали, что UIA можно использовать для кражи учетных данных, подчеркивая, что эта техника позволит обойти защиту EDR в любой версии Windows, начиная с XP.
Теперь в Akamai
сообщили, что их прогнозы сбываются: с февраля 2025 года эксперты наблюдают реальные атаки с применением этой техники, и это первый известный случай, когда малварь злоупотребляет возможностями Microsoft UIA для кражи данных.
Банковский троян Coyote
активен с февраля 2024 года. Этот вредонос стремится похитить учетные данные из 75 банковских и криптовалютных приложений, в основном нацеливаясь на пользователей из Бразилии. Когда малварь обнаружили впервые, она использовала кейлоггинг и фишинговые оверлеи, но с тех пор Coyote претерпел значительные изменения.
По словам исследователей, новая версия Coyote продолжает воровать данные традиционными методами, но также в код вредоноса добавились функции для злоупотребления UIA, которые используются, когда пользователь открывает в браузере банковские или криптовалютные сервисы.
Так, если Coyote не может определить объект по заголовку окна, он использует UIA для извлечения веб-адреса из UI-элементов браузера (вкладки или адресной строки). Затем он сравнивает полученный результат с жестко закодированным списком из 75 целевых сервисов.
Среди банков и бирж, которые Coyote ищет с помощью этого метода: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original bank, Sicredi, Banco do Nordeste, Expanse, а также Binance, Electrum, Bitcoin, Foxbit и другие.
Хотя в данном случае злоупотребление UIA ограничивается лишь фазой разведки, специалисты Akamai продемонстрировали, что UIA можно использоваться и для фактической кражи учетных данных с целевых сайтов.
«Парсинг вложенных элементов другого приложения без UIA — нетривиальная задача, — говорят исследователи. — Чтобы эффективно читать содержимое вложенных элементов другого приложения, разработчик должен хорошо понимать, как устроено конкретное целевое приложение. Coyote может выполнять проверки независимо от того, находится ли вредоносное ПО в режиме онлайн или офлайн. Это повышает шансы на успешную идентификацию банка или криптовалютной биржи для кражи учетных данных».
|
Эксперты напоминают, что в Android проблема злоупотребления Accessibility Services стоит очень остро и давно приобрела массовый характер.
@ xakep.ru
08-05-2025, 10:45 PM
Threaded Mode