Araştırmacılar, Microsoft’un aktif saldırılarda kullanıcı arayüzü otomasyonu (UIA) çerçevesini kullanan ilk onaylanmış kötü amaçlı yazılım durumunu belgeledikçe çığır açan bir siber güvenlik tehdidi ortaya çıktı.
Başlangıçta Şubat 2024’te keşfedilen Coyote Bankacılık Truva atı, bu sofistike tekniği dahil etmek için gelişti, kötü amaçlı yazılım yeteneklerinde ve saldırı metodolojilerinde önemli bir yükseliş işaret etti.
Kötü amaçlı yazılım özellikle Brezilyalı kullanıcıları ve finansal kurumları hedeflemekte ve UIA’yı 75 farklı bankacılık enstitü ve kripto para birimi borsasından kimlik bilgilerini çıkarmak için kullanıyor.
Bu, teorik kavram kanıtı gösterilerinden gerçek dünyadaki sömürüye kayda değer bir ilerlemeyi temsil ederek Microsoft’un erişilebilirlik çerçevesinin potansiyel yanlış kullanımı hakkındaki uzun süredir devam eden endişeleri doğrular.
Coyote, geleneksel bir bankacılık Truva atı olarak çalışır, ancak kimlik bilgisi hasatına yenilikçi yaklaşımıyla kendini ayırır.
Kötü amaçlı yazılım, sincap montajcısını yayılma için kullanırken, adını çakallar ve sincaplar arasındaki yırtıcı-av ilişkisinden kazanırken, Keylogging ve kimlik avı kaplamaları da dahil olmak üzere geleneksel teknikler kullanır.
Akamai araştırmacıları, hem çevrimiçi hem de çevrimdışı işletme yeteneği nedeniyle bu varyantı özellikle tehlikeli olarak belirlediler ve mağdurların finansal hizmetlerini tanımlamadaki ve hedeflemedeki etkinliğini önemli ölçüde artırdılar.
Kötü amaçlı yazılım enfeksiyon mekanizması sofistike teknik yürütme gösterir.
Enfeksiyon Mekanizması – Microsoft kullanıcı arayüzü otomasyonundan yararlanma
Başlangıçta, çakal GetForegroundWindow() Windows API, şu anda etkin olan pencereye bir tutamaç elde etmek için pencere başlığını, hedeflenen bankacılık ve kripto para değişim web adreslerinin sabit kodlu bir listesiyle karşılaştırır.
.webp)
Doğrudan eşleşme gerçekleşmediğinde, kötü amaçlı yazılım UIA sömürü aşamasına geçer. UIA kötüye kullanımı sırasında Coyote, üst öğesi olarak ön plan penceresini kullanarak bir Uiautomation Com nesnesi oluşturur.
.webp)
Kötü amaçlı yazılım, tarayıcı sekmelerini veya ilgili finansal hizmet URL’lerini içeren adres çubuklarını bulmak için ön plan uygulamasının her alt elemanını sistematik olarak yineleyin.
Bu işlem, COYOTE’nin belirli uygulama yapıları hakkında ayrıntılı bilgi gerektirmeden farklı uygulamalarda kullanıcı arayüzü öğelerini ayrıştırmasını sağlar.
Daha sonra kötü amaçlı yazılım, çeşitli kripto para platformlarının yanı sıra, Banco do Brasil, Caixabank ve Banco Bradesco gibi büyük Brezilya bankaları da dahil olmak üzere kurumları türe göre kategorize eden önceden tanımlanmış hedef listesi ile web adreslerini keşfetti.
Bu UIA uygulaması, saldırganlara birden fazla uygulamada alt öğelere erişmek için evrensel bir çözüm sunar, bu da kötü amaçlı yazılım sofistike bir evrimi temsil eder, güvenlik profesyonellerinin UIAutomationCore.dll kullanımının ve UIA ile ilgili adlandırılmış boruların gelişmiş izlenmesi yoluyla ele almaları gerekir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.