Новый вариант банкера Coyote эксплуатирует функции специальных возможностей в Windows, а именно — фреймворк Microsoft UI Automation. Таким способом вредонос обнаруживает сайты банков и криптовалютных бирж, которые посещает пользователь, и похищает учетные данные.

Microsoft UIA — это фреймворк, предназначенный для того, чтобы вспомогательные технологии могли взаимодействовать с элементами интерфейса Windows-приложений: считывать их свойства, управлять ими, отслеживать изменения. Приложения представляют свою структуру в виде дерева UI Automation, а API UIA позволяет просматривать его, получать данные об элементах интерфейса и взаимодействовать с ними, эмулируя действия пользователя. Все это сделано для того, чтобы люди с ограниченными возможностями могли в полной мере использовать все возможности своих устройств.

Еще в декабре 2024 года специалисты компании Akamai предупреждали, что UIA можно использовать для кражи учетных данных, подчеркивая, что эта техника позволит обойти защиту EDR в любой версии Windows, начиная с XP.

Теперь в Akamai сообщили, что их прогнозы сбываются: с февраля 2025 года эксперты наблюдают реальные атаки с применением этой техники, и это первый известный случай, когда малварь злоупотребляет возможностями Microsoft UIA для кражи данных.

Банковский троян Coyote активен с февраля 2024 года. Этот вредонос стремится похитить учетные данные из 75 банковских и криптовалютных приложений, в основном нацеливаясь на пользователей из Бразилии. Когда малварь обнаружили впервые, она использовала кейлоггинг и фишинговые оверлеи, но с тех пор Coyote претерпел значительные изменения.

По словам исследователей, новая версия Coyote продолжает воровать данные традиционными методами, но также в код вредоноса добавились функции для злоупотребления UIA, которые используются, когда пользователь открывает в браузере банковские или криптовалютные сервисы.

Так, если Coyote не может определить объект по заголовку окна, он использует UIA для извлечения веб-адреса из UI-элементов браузера (вкладки или адресной строки). Затем он сравнивает полученный результат с жестко закодированным списком из 75 целевых сервисов.

Среди банков и бирж, которые Coyote ищет с помощью этого метода: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original bank, Sicredi, Banco do Nordeste, Expanse, а также Binance, Electrum, Bitcoin, Foxbit и другие.

Хотя в данном случае злоупотребление UIA ограничивается лишь фазой разведки, специалисты Akamai  продемонстрировали, что UIA можно использоваться и для фактической кражи учетных данных с целевых сайтов.

«Парсинг вложенных элементов другого приложения без UIA — нетривиальная задача, — говорят исследователи. — Чтобы эффективно читать содержимое вложенных элементов другого приложения, разработчик должен хорошо понимать, как устроено конкретное целевое приложение. Coyote может выполнять проверки независимо от того, находится ли вредоносное ПО в режиме онлайн или офлайн. Это повышает шансы на успешную идентификацию банка или криптовалютной биржи для кражи учетных данных».

Эксперты напоминают, что в Android проблема злоупотребления Accessibility Services стоит очень остро и давно приобрела массовый характер.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии