Bankacılık Trojan ‘Coyote’in yeni bir varyantı, potansiyel kimlik bilgisi hırsızlığı için cihazda hangi bankacılık ve kripto para değişim sitelerinin erişildiğini belirlemek için bir Windows erişilebilirlik özelliği olan Microsoft’un UI Otomasyon Çerçevesi’ni kötüye kullanmaya başladı.
Microsoft UIA, yardımcı teknolojilerin uygulamalardaki kullanıcı arayüzü (UI) öğeleriyle etkileşime girmesine, incelemesine ve kontrol etmesine izin vermek için tasarlanmış bir Windows erişilebilirlik çerçevesidir.
Windows uygulamaları UI öğelerini bir UI otomasyon ağacı aracılığıyla ortaya çıkarır ve UIA API’si, onu geçmenin, her öğenin özelliklerini sorgulamanın ve onunla etkileşime girmenin bir yolunu sağlar.
Akamai araştırmacıları, Windows UIA’nın Aralık 2024’te kimlik bilgilerini çalmak için istismar etme olasılığı konusunda uyardı ve tekniğin uç nokta algılama ve yanıt (EDR) korumalarından kaçtığını vurguladı.
Şimdi, aynı araştırmacılar, Şubat 2025’ten bu yana vahşi doğada tekniği kullanan saldırılar gördüklerini ve Microsoft UIA’yı veri hırsızlığı için kötüye kullanmanın ilk gerçek dünyası durumunu işaretlediklerini bildiriyorlar.
Çakal Evrimi ve UIA kötüye kullanımı
Coyote, başta Brezilyalı kullanıcıları hedefleyen 75 bankacılık ve kripto para değişim uygulamaları için kimlik bilgilerini çalmaya çalışan bir bankacılık truva atıdır.
Kötü amaçlı yazılım ilk olarak Şubat 2024’te, Keylogging ve kimlik avı kaplamaları gibi taktikleri kullanarak belgelendi ve o zamandan beri önemli bir gelişme geçirdi.
Akamai, en son Coyote varyantının sabit kodlu uygulamalar için geleneksel yöntemler kullanarak veri çalmaya devam ederken, kullanıcı bir tarayıcıda web tabanlı bankacılık veya kripto para birimi hizmetleri açtığında UIA kötüye kullanımı eklediğini bildiriyor.
Coyote bir hedefi pencere başlığı aracılığıyla tanımlayamazsa, Web adresini tarayıcının kullanıcı arayüzü öğelerinden (sekmeler veya adres çubukları) çıkarmak için UIA’yı kullanır. Son olarak, bunu 75 hedeflenen hizmetin sert kodlanmış bir listesine göre karşılaştırır.
Raporda, “Hiçbir eşleşme bulunmazsa, Coyote, tarayıcı sekmelerini veya adres çubuklarını tanımlamak amacıyla pencerenin UI çocuk öğelerini ayrıştırmak için UIA’yı kullanacaktır.”
Diyerek şöyle devam etti: “Bu UI öğelerinin içeriği, ilk karşılaştırmadan aynı adres listesi ile çapraz referans verilecektir.”
Bu yöntem kullanılarak tanımlanan bankalar ve borsalardan bazıları Banco do Brasil, Caixabank, Banco Bradesco, Santander, Orijinal Bank, Sicredi, Banco do Nordeste, Geniş uygulamalar ve kripto para birimidir (Binance, Electrum, Bitcoin, Foxbit ve diğerleri).
Bu Windows erişilebilirlik özelliğinin kötüye kullanılması keşif aşamasında dursa da, Akamai, UIA’nın bu siteler için girilen kimlik bilgilerini çalmak için nasıl istismar edilebileceğine dair bir kavram kanıtı paylaştı.
Kaynak: Aletress
BleepingComputer, Windows’ta UIA’nın kötüye kullanılmasını durdurmak için korumaların potansiyel olarak piyasaya sürülmesini sormak için Microsoft ile iletişime geçti, ancak bir yorum hemen mevcut değildi.
Erişilebilirlik sistemleri güçlü olacak şekilde tasarlanmıştır, engelli kişilerin cihazlarının yeteneklerini tam olarak kullanmalarına izin verir. Ancak, bu güç kötü niyetli kullanımı da davet eder.
Android’de, bu sorun, kötü amaçlı yazılımların erişilebilirlik hizmetlerini yoğun bir şekilde kötüye kullanmasıyla büyük oranlar aldı. Yıllar geçtikçe Google, bu sorunu ele almak için birden fazla önlem uyguladı.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.