Windows Bankacılık Truva atı Çakal Windows Erişilebilirlik Çerçevesinden yararlanan ilk bilinen kötü amaçlı yazılım zorluğu haline geldi. UI otomasyonu (UIA) hassas bilgileri hasat etmek.
Akamai güvenlik araştırmacısı Tomer Peled, bir analizde, “Yeni Coyote varyantı Brezilyalı kullanıcıları hedefliyor ve 75 bankacılık enstitülerinin web adreslerine ve kripto para alışverişlerine bağlı kimlik bilgilerini çıkarmak için UIA’yı kullanıyor.” Dedi.
İlk olarak 2024’te Kaspersky tarafından ortaya çıkan Coyote, Brezilyalı kullanıcıları hedeflemekle bilinir. Finansal işletmelerle ilişkili oturum açma sayfalarının üstünde tuş vuruşlarını kaydetmek, ekran görüntülerini yakalamak ve kaplamaları sunmak için yeteneklerle birlikte gelir.
Microsoft .NET Framework’ün bir parçası olan UIA, Microsoft tarafından ekran okuyucularının ve diğer yardımcı teknoloji ürünlerinin bir masaüstündeki kullanıcı arayüzü (UI) öğelerine programlı olarak erişmesine izin vermek için sunulan meşru bir özelliktir.
UIA’nın veri hırsızlığı da dahil olmak üzere istismar için potansiyel bir yol olabileceğinin, daha önce Aralık 2024’te Akamai tarafından bir kavram kanıtı (POC) olarak gösterilmiş ve web altyapı şirketi, kimlik bilgilerini çalmak veya kod yürütmek için kullanılabileceğini kaydetmiştir.
Bazı açılardan, Coyote’un en son modus operandi, vahşi doğada tespit edilen çeşitli Android bankacılık truva atlarını yansıtıyor ve bu da genellikle değerli veriler elde etmek için işletim sisteminin erişilebilirlik hizmetlerini silahlandırıyor.
Akamai’nin analizi, kötü amaçlı yazılımın, aktif pencerenin başlığını çıkarmak ve hedeflenen bankalara ve kripto para birimi borsalarına ait sabit kodlu bir web adresleri listesiyle karşılaştırmak için Get StroundWindow () Windows API’sını çağırdığını buldu.
Peled, “Coyote herhangi bir eşleşme bulunmazsa, tarayıcı sekmelerini veya adres çubuklarını tanımlamak amacıyla pencerenin UI çocuk öğelerini ayrıştırmak için UIA’yı kullanır.” Diyerek şöyle devam etti: “Bu UI öğelerinin içeriği, ilk karşılaştırmadan aynı adres listesi ile çapraz referans verilecektir.”
Bu Ocak ayında Fortinet Fortiguard Labs tarafından belgelenen 73 kişiden, kötü amaçlı yazılımların en son sürümü tarafından 75 kadar farklı finansal kurumu hedeflemektedir.
Akamai, “UIA olmadan, başka bir uygulamanın alt unsurlarını ayrıştırmak önemsiz bir görevdir.” “Başka bir uygulamadaki alt öğelerin içeriğini etkili bir şekilde okuyabilmek için, bir geliştiricinin belirli hedef uygulamanın nasıl yapılandırıldığını çok iyi anlaması gerekir.”
“Coyote, kötü amaçlı yazılımların çevrimiçi olup olmadığına bakılmaksızın kontroller yapabilir.