Akamai Güvenlik Araştırmacıları, Microsoft’un UI Otomasyonu (UIA) çerçevesini gerçek dünya saldırılarında kullanan kötü niyetli aktörlerin açılış belgelenmiş örneğini işaret eden Coyote Bankacılık Truva atı’nın yeni bir varyantını ortaya çıkardılar.
Başlangıçta Aralık 2024 Akamai blog yazısında bir konsept kanıtı güvenlik açığı olarak ayrıntılı olarak ayrıntılı olarak, UIA başlangıçta Windows işletim sistemlerinde erişilebilirlik özellikleri için tasarlanan XP’den sonraki kullanıcı arayüzü öğelerinin gizli manipülasyonunu mümkün kılar.
Brezilyalı kullanıcıları hedefleyen bu yeni çakal suşu, Bankacılık kurumlarına ve kripto para birimi borsalarına bağlı 75 farklı web adresiyle ilişkili giriş bilgilerini sistematik olarak çıkarmak için UIA’dan yararlanıyor.
İlk olarak teyit edildi
UIA’nın Bileşen Nesne Modeli (COM) arayüzlerini kötüye kullanarak, kötü amaçlı yazılım, çerçevenin UI etkileşimi için doğal yükseltilmiş izinleri nedeniyle faaliyetlerini anormal olarak işaretlemeyen geleneksel uç nokta algılama ve yanıt (EDR) araçlarından kaçınır.
Sömürü, kötü amaçlı yazılımın adını avcı avlanma davranışını yineleyen bir taktik olan yayılma için sincap montajcısını kullanan Coyote enfeksiyon zinciri ile başlar.
Bir sistemden ödün verdikten sonra Coyote, bilgisayar adı, kullanıcı adı ve etkin işlemler gibi sistem ayrıntılarını numaralandırır ve bunları bir komut ve kontrol (C2) sunucusuna iletir.
Kritik olarak, Pencere başlıklarını sert kodlanmış hedeflenen finansal alanlar listesiyle karşılaştırarak, GetForegregWindow () API üzerinden ön plan penceresini incelemek için UIA kullanır.
Herhangi bir eşleşme bulunmazsa, kötü amaçlı yazılım, Cuiautomation UUID (FF48DBA4-60EF-4201-AA87-54103EF594E) ve UIAutomation Arayüzü UUID (30CBE57D-D9D0-452A-AB13-7AC25 UiautomationCore.dll İşlem alanına.
Bu, Chrome, Firefox veya Edge gibi uygulamalardaki tarayıcı sekmeleri ve adres çubukları gibi UI alt öğelerinin yinelemeli olarak geçilmesini, Banco Do Brasil (Tip 0), CaixAbank (Tip 1) ve binan (Tip 3) gibi kriptourrens platformları da dahil olmak üzere önceden tanımlanmış kategorilere göre tanımlamak ve sınıflandırmaya izin verir.
Bu öğeleri ayrıştırarak Coyote, kimlik bilgisi eksfiltrasyonunu en üst düzeye çıkarmak için hem çevrimiçi hem de çevrimdışı modlarda etkili bir şekilde çalıştırılan, doğrudan işlem enjeksiyonu olmadan kredi kartı detayları veya giriş bilgileri gibi hassas verileri gizli bir şekilde hasat edebilir.
Azaltma stratejileri
Bu UIA kötüye kullanımı, Coyote’un yeteneklerini geleneksel anahtarlama ve kimlik avı kaplamalarının ötesine genişleterek, aksi takdirde hedef yazılım iç kısımlarının derin bilgisini gerektirecek uygulama alt yapılarının önemsiz bir şekilde ayrıştırılmasını sağlar.
Örneğin, saldırganlar bunu, UIA operasyonları meşru özellikler olarak kabul edildiği için EDR incelemesini atlarken, kullanıcıları çağırılamaz öğeler üzerinden simüle edilmiş çağrılar yoluyla kimlik avı sitelerine yönlendirmek için Sosyal Mühendislik için UI bileşenlerini değiştirmek için bunu genişletebilir.
Akamai’nin analizi, bu varyantta doğrulanmamış olmasına rağmen, ekran dışı elemanlarla önbellek tabanlı etkileşimler veya hatta kilitli ekran manipülasyonları da dahil olmak üzere potansiyel artışları vurgulamaktadır.
Bu tür tehditlere karşı koymak için, savunucular UiautomationCore.dll’nin anormal yüklerini, “farklı PID, Name, Proc.
Ek olarak, “UIA_PIPE_” olarak biçimlendirilen UIA adlı boruları izleme, ardından işlem kimlikleri ile proses kimlikleri, borular tablosundaki boruları tanımlayanlar gibi sorgular aracılığıyla, aktif UIA sunucularını ortaya çıkarabilir.
Rapora göre, Akamai Hunt’ın anomali tespiti, şüpheli UIA aktivitesi için zaten sapmış ve sapmalar üzerinde uyarılmış ortamları taramıştır.
Microsoft, UIA’yı varsayılan olarak orta bütünlük seviyelerine kısıtlarken, saldırganlar bunu, UIAccess’i gerçek olarak ayarlayarak, artan farkındalık ihtiyacının altını çizerek imzalı tezahürlerle atlayabilir.
Bu gelişme, UIA’nın ikili kullanım potansiyeli hakkındaki önceki uyarıları doğrular ve mavi ekipleri, modern kimlik hırsızlığı için miras çerçevelerini uyarlamaya devam eden Coyote gibi gelişmekte olan truva atanlarından kaynaklanan riskleri azaltmak için bu göstergeleri tehdit avı protokollerine entegre etmeye çağırır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now