Coyote bankacılığı Truva atının yeni bir versiyonu tespit edildi ve bu konuda fark edilen şey sadece kimi hedeflediği değil, nasıl devam ettiği. Akamai’deki siber güvenlik araştırmacıları, bu varyantın bankacılık kimlik bilgilerini çıkarmak için Microsoft’un UI Otomasyonu (UIA) çerçevesini kullanan aktif olarak görülen ilk kötü amaçlı yazılım olduğunu doğruladılar. Birkaç ay önce sadece kavramsal bir risk olan bir yöntem.
Aralık 2024’te Akamai, Microsoft’un yardımcı teknolojilerin yazılımla etkileşime girmesine yardımcı olan UIA’nın tehdit aktörleri tarafından kötüye kullanılabileceği konusunda uyardı. Şimdiye kadar, bu endişe bir kavram kanıtı olarak kaldı. Akamai, Brezilyalı kullanıcıları hedefleyen saldırılarda UIA’yı kullanarak Coyote’u tespit ettiğinde, bankalara ve kripto para birimi platformlarına bağlı tarayıcı pencerelerinden hassas bilgiler çıkarmayı amaçladığında işler değişti.
Bu, Coyote Trojan’ın çalışma şeklini değiştirdiğini ve tespit etmeyi ve durdurmayı zorlaştırdığını gösteriyor. İlk olarak Şubat 2024’te tespit edilen kötü amaçlı yazılım, Latin Amerika finansal hedeflerine yönelik kimlik avı ve anahtarlık ile bilinir. Ancak bu varyantın farklı kılan şey, UIA’nın uç nokta algılama ve yanıt yazılımı gibi algılama araçlarını atlamak için kullanılmasıdır.
Coyote, bir kurbanın hangi bankacılık sitesini ziyaret ettiğini kontrol etmek için geleneksel API’lere güvenmek yerine artık kullanıcı arayüzü otomasyonunu kullanıyor. Aktif pencere başlığı, kötü amaçlı yazılımların önceden yüklenmiş bankacılık veya kripto site adresleriyle eşleşmediğinde, taktiklerini değiştirir ve aktif pencerenin alt öğelerinde sürünmeye başlamak için bir UIA com nesnesi kullanır ve finansal etkinlik belirtilerini arar.
Akamai’nin Hackread.com ile Salı günü yayınlanmadan önce paylaşılan blog yazısı, Coyote’un sert kodlu listesinin 75 finansal kurum ve kripto borsası içerdiğini buldu. Daha da kötüsü, bunlar sadece isimler veya URL’ler değil. Kötü amaçlı yazılım bunları dahili kategorilerle eşleştirerek kimlik bilgisi-bürolama girişimlerini önceliklendirmesine veya özelleştirmesine izin verir. Bu yaklaşım sadece hedefe vurma şansını arttırmakla kalmaz, aynı zamanda tarayıcılar ve uygulamalar arasında daha esnek hale getirir.
Normalde, bir saldırganın belirli bir uygulamanın tasarımı hakkında ayrıntılı bilgiye ihtiyacı olacaktır. UIA bu süreci basitleştirir. Bu çerçeveyle, kötü amaçlı yazılım başka bir uygulamanın kullanıcı arayüzünü tarayabilir, içeriği adres çubukları veya giriş kutuları gibi alanlardan çıkarabilir ve saldırıları özelleştirmek veya giriş verilerini çalmak için bu bilgileri kullanabilir.
Coyote Trojan bankaları tanımlamada durmuyor. Ayrıca sistem ayrıntılarını bilgisayar adı, kullanıcı adı ve tarayıcı verileri de dahil olmak üzere komut ve kontrol altyapısına geri gönderir. Çevrimdışı ise, hala bu kontrollerin çoğunu yerel olarak gerçekleştirir, bu da sadece ağ trafiğini yakalamayı zorlaştırır.
Araştırmacılara göre, buradaki daha büyük endişe UIA’nın yeni saldırı yollarını nasıl açabileceği. Akamai, saldırganların sadece verileri nasıl kazıyabileceğini değil, aynı zamanda kullanıcı arayüzü öğelerini de manipüle edebileceğini göstererek bunu gösterdi. Konseptlerin bir kanıtı, bir tarayıcının adres çubuğunu değiştiren kötü amaçlı yazılımları gösterir, ardından ekranda meşru görünürken kullanıcıyı bir kimlik avı sitesine sessizce yönlendirmek için bir tıklamayı simüle eder.
Savunma tarafında, bu tür kötüye kullanımı yakalamanın yolları var. Akamai, yüklenmesi için izlemeyi önerir. UIAutomationCore.dll tanıdık olmayan süreçlere. Ayrıca sağlarlar osquery UIA ile ilgili adlandırılmış borularla etkileşime giren işlemleri işaretleme komutları. Bunlar, bir saldırganın kullanıcı arayüzünde gözetlenebileceğine dair erken uyarı işaretleridir.
Akamai’nin tehdit avcılık hizmeti zaten bu tür anomaliler için tarama ortamlarını başlattı. Raporlarına göre, şüpheli UIA etkinliği tespit edildiğinde müşteriler uyarıldı.