Coyote banki trójai
Az Akamai vizsgálatai szerint a Coyote banki trójai már nem csak billentyűnaplózást és phishing-alapú overlay támadásokat alkalmaz, hanem elsőként most már a Microsoft UI Automation (UIA) keretrendszerét is kihasználja valós környezetben, amivel új szintre emeli a bankszámla- és kriptó hozzáférések ellopását. A Coyote malware 2024 februárja óta aktív, különösen Brazília felhasználóit célozza meg: megbízhatóan lop be banki belépési adatokat – korábban aktív alkalmazásokhoz (például Banco do Brasil, CaixaBank, Santander) és kriptopénztárcákhoz (Binance, Electrum stb.).
Az új, UIA-s módszer lényege, hogy a trójai a Windows Accessibility funkcióit használva képes beolvasni a böngésző elsődleges ablakában található fülek URL-jeit vagy címsorait. Ezeket összehasonlítja egy előre beprogramozott, 75 célszolgáltatást tartalmazó listával. Ha egyezést talál, akkor UI Automation technológiával még részletesebben vizsgálja az UI elemeket, és ha megerősítés születik, azonnal elkezdi kinyerni a felhasználói belépési adatokat. Ez az első dokumentált eset, amikor valós támadás során használják az UIA-t kártékony célokra.
A korábbi, klasszikus módszerek – billentyűnaplózás, overlay felugró ablakok – nem működtek akkor, ha a felhasználó böngészőn keresztül jelentkezett be. Az UI Automation viszont lehetővé teszi az alkalmazáson belüli struktúrák átlátását, így a rosszindulatú program automatikusan felismerheti, ha banki weboldal van nyitva, és onnantól kezdve fokozhatja az adathalász tevékenységet.
A támadás kivitelezése során eleinte a GetForegroundWindow() segítségével lekérdezi az aktív ablak címét, összeveti a listával. Ha nem talál egyezést, beveti az UI Automation-t, hozzáférést kér az UI child-elemekhez, iterál a komponenseken keresztül, és olvassa az URL-címsorokat, amit megint összevet a céllistával. Ez a módszer akár offline módban is működik, hiszen az URL-ek helyben olvashatók – azaz az adatok kinyerése nem függ hálózati jelenléttől.
A szakemberek szerint az UI Automation ilyen típusú használata új támadási dimenziót nyit, és később akár böngésző-manipulálásra is használhatják, például a címsor átírására és phishing-oldalakra történő átirányításra, anélkül, hogy a felhasználó észrevenné. Ugyanakkor az Akamai kutatói már javaslatokat is kínálnak az anomáliák észlelésére, például a UIAutomationCore.dll modul nem várt folyamatokhoz kötött betöltésének figyelésére, vagy UIA-hez kapcsolódó named pipe-ok monitorozására
