Coyote Trojan erişilebilirliği saldırı yüzeyine dönüştürüyor

Coyote Banking Trojan’ın en son varyantı, Şubat ayından bu yana, 75’in üzerinde Brezilya bankası ve kripto para borsası kullanıcılarından giriş verilerini çıkarmak için erişilebilirlik aracını kullandı.

Okuyucuların ve test araçlarının arayüz öğeleriyle etkileşime girmesine yardımcı olmak için oluşturulan UIA Framework, uygulamaların otomasyon yoluyla diğer programların düğmeleri, metin kutuları ve menüler gibi UI bileşenlerini incelemesine ve manipüle etmesine olanak tanır.

Coyote, en az bir yıldan uzun bir süredir Brezilya’da, öncelikle Windows sistemlerini hedefleyen dolaşıyor. Bu yılın başlarında Fortinet’teki araştırmacılar, kötü amaçlı yazılımın kimlik avı kampanyalarında nasıl yayıldığını, burada bir zip dosyasının kötü niyetli bir .lk kısayol. Dosyayı açmak, Coyote’un kendisi de dahil olmak üzere ek yükleri indiren bir PowerShell komut dosyasını tetikler.

Kötü amaçlı yazılım, bilgisayar adı, kullanıcı adı ve cihaz modeli gibi temel sistem bilgilerini toplar ve bir komut ve kontrol sunucusuna gönderir. Kurbanın ekranındaki aktif pencerenin başlığını inceliyor ve bu, bilinen bir finansal hizmete sahipse hedef listesinden eşleşiyorsa, Coyote kimlik bilgilerini keser. Ancak başlık eşleşmezse, kötü amaçlı yazılım taktiklerini değiştirir.

UI otomasyonu burada devreye giriyor. Çerçeveyi kullanarak Coyote, uygulama penceresinin derinliklerinde daha derinlemesine deliniyor, potansiyel olarak ilgili bankacılık veya kripto alanlarını bulmak için açık sekmeler ve adres çubukları gibi tarayıcı öğelerini ayrıştırıyor. Bu tür bir inceleme, JavaScript enjeksiyonları veya tarayıcı kancaları ile yapılabilir, ancak bu yöntemler genellikle siteler kullanıcı arayüzünü güncellediğinde veya tarayıcı sürümleri değiştiğinde bozulur. Raporda, “UIA, kötü amaçlı yazılım geliştiricilerinin başka bir uygulamanın alt öğelerini ayrıştırması için basit bir çözüm de dahil olmak üzere bir saldırgan için birkaç şey sunuyor.” Dedi.

Yaklaşım, Coyote’un site başına özel koda gerek kalmadan birden fazla tarayıcı türünde çalışmasına izin verir. UIA tabanlı inceleme, finansal oturum açma sayfalarını, geleneksel tarayıcı enjeksiyon kötü amaçlı yazılımlarını uzun zamandır sınırlayan bir yön olan kozmetik site değişikliklerine dayanıklı bir şekilde tanımlayabilir.

Bir eşleşme bulduktan sonra Coyote, kimlik bilgilerini toplamak için girdileri izlemeye devam edebilir veya kaplamaları tetikleyebilir. Akamai’nin araştırmacıları, kötü amaçlı yazılımın işlev görmesi için çevrimiçi olması gerekmediğini söylüyor. Finansal faaliyet için sistemi araştırmaya devam eden iki kalıcı döngü – biri bağlı işlem için, diğeri çevrimdışı mod için – çalıştırır. C2 altyapısına bağlanamazsa, taramaya yeniden yeniden çalışır ve devam eder. Her iki modda da, daha sonra kimlik avı veya sahtekarlık için kullanılabilecek kullanıcı ve sistem verilerini toplar.

Bu amaç için UI otomasyonunun kullanımı ilk olarak Akamai tarafından Aralık ayında teorik bir risk olarak işaretlendi. O zaman, UIA’nın kötü amaçlı yazılım yazarlarının arayüzleri denetlemeleri, uygulama davranışını kontrol etmeleri ve geleneksel uç nokta savunmalarını tetiklemeden bilgileri ayıklamaları için gizli bir kanal olarak gösterdi. Coyote’un UIA tabanlı varyantının teyidi, bu teorik riski canlı bir tehdide dönüştürüyor.

Savunucuların arayabileceği göstergeler var: UIAutomationCore.dll Beklenmedik süreçlere yüklendi veya ön ek olan borular üzerinde süreçler arası iletişim UIA_PIPE_ Çerçevenin kötüye kullanılmasını önerebilir. Ancak bir zorluk tespiti, çünkü kötü amaçlı yazılım tarayıcıda kod enjekte etmiyor veya güvenlik açıklarını kullanmıyor ve sadece meşru API çağrıları kullanıyor.

Akamai’nin bulguları, geleneksel güvenlik katmanlarını atlamak için, özellikle erişilebilirlik veya geliştirici testi için tasarlanmış meşru sistem özelliklerini kullanan saldırganların artan bir eğilimine işaret ediyor. Bu karaya oturma teknikleri daha önce PowerShell istismarı ve WMI tabanlı kalıcılıkta kullanılmıştır.