Akamai je analizirao noviju varijantu bankarskog trojanca Coyote i otkrio da ovaj malver zloupotrebljava Microsoftov UI Automation (UIA) okvir kako bi pribavio podatke sa kompromitovanih uređaja.
Zapravo, Akamai navodi da je Coyote prvi malver koji je zloupotrijebio UIA okvir.
Ovaj malver je prisutan najmanje od februara 2024. godine, a koristi se za napade na Windows uređaje u Latinskoj Americi. Coyote koristi keylogging i fišing preklapanja kako bi prikupljao podatke o žrtvama, posebno akreditive za bankarske i kriptovalutne servise.
UIA je okvir pristupačnosti za Windows aplikacije, koji omogućava programski pristup elementima korisničkog interfejsa na desktopu. “Omogućava proizvodima asistivne tehnologije, poput čitača ekrana, da pruže informacije o korisničkom interfejsu krajnjim korisnicima i da manipulišu tim interfejsom na načine koji ne uključuju standardni unos,” navodi Microsoft.
Akamai je u decembru 2024. godine upozorio da hakeri mogu zloupotrijebiti UIA u maliciozne svrhe tako što navedu korisnika da pokrene posebno kreiranu aplikaciju koja koristi ovaj okvir.
Istraživači ove kompanije pokazali su kako napadač može da zloupotrijebi UIA za prikriveno izvršavanje komandi, preusmjeravanje pregledača i krađu osjetljivih podataka. Ovi napadi funkcionišu na svim verzijama Windowsa od XP pa nadalje, i mogu zaobići alate za detekciju i odgovor na krajnjim tačkama (EDR).
Akamai je nedavno otkrio da rizik više nije samo teoretski, jer su autori malvera već počeli da zloupotrebljavaju UIA, a Coyote je, kako izgleda, prvi malver koji to čini u stvarnim napadima.
Iako UIA može da se zloupotrijebi za krađu osjetljivih podataka, autori Coyote-a ga koriste da bi utvrdili koje finansijske usluge koristi žrtva. Malver najprije koristi Windows API kako bi došao do naslova otvorenih prozora, u pokušaju da utvrdi poklapanje sa listom unaprijed definisanih adresa veb sajtova povezanih sa bankama i kripto servisima.
Ako ne pronađe poklapanje, malver koristi UIA kako bi “analizirao UI child elemente prozora”. To mu omogućava da provjeri tabove pregledača i adresnu traku i utvrdi da li odgovaraju definisanim adresama sa liste.
“Bez UIA, analiza podređenih elemenata druge aplikacije je zahtjevan zadatak,” objasnio je Tomer Peled iz Akamaija u blog objavi. “Da bi programer mogao efikasno da pročita sadržaj podređenih elemenata unutar druge aplikacije, morao bi da ima vrlo dobro razumijevanje strukture ciljne aplikacije.”
“Coyote može da vrši provjere bez obzira na to da li je malver povezan na internet ili radi u oflajn režimu. To povećava šanse za uspješno identifikovanje banke ili kripto mjenjačnice korisnika i krađu njihovih akreditiva,” dodao je Peled.
Izvor: SecurityWeek
