De Windows Banking Trojan bekend als Coyote is de eerste bekende malware -stam geworden die het Windows Accessibility Framework heet UI -automatisering (UIA) om gevoelige informatie te oogsten.
“De nieuwe Coyote -variant is gericht op Braziliaanse gebruikers en gebruikt UIA om referenties te extraheren die gekoppeld zijn aan 75 bankinstituten en cryptocurrency -uitwisselingen van Cryptocurrency,” zei Akamai Security Researcher Tomer Peled in een analyse.
Coyote, voor het eerst onthuld door Kaspersky in 2024, staat bekend om het richten van Braziliaanse gebruikers. Het wordt geleverd met mogelijkheden om toetsaanslagen in te loggen, screenshots vast te leggen en overlays te bedienen bovenop inlogpagina’s die verband houden met financiĆ«le ondernemingen.
UIA is onderdeel van het Microsoft .NET -framework en is een legitieme functie die Microsoft biedt om schermlezers en andere hulpproducten voor ondersteunende technologie toe te staan om programmatisch toegang te krijgen tot User Interface (UI) -elementen op een bureaublad.
Dat UIA een potentieel pad kan zijn voor misbruik, inclusief gegevensdiefstal, werd eerder aangetoond als een proof-of-concept (POC) door Akamai in december 2024, waarbij het webinfrastructuurbedrijf opmerkt dat het zou kunnen worden gebruikt om referenties te stelen of code te uitvoeren.
In sommige opzichten weerspiegelt Coyote’s nieuwste Modus Operandi de verschillende Android Banking Trojans die zijn gezien in het wild, die vaak de toegankelijkheidsdiensten van het besturingssysteem bewapenen om waardevolle gegevens te verkrijgen.
Uit de analyse van Akamai bleek dat de malware de Windows API van GetForegroundWindow () oproept om de titel van het actieve venster te extraheren en te vergelijken met een hard gecodeerde lijst van webadressen die behoren tot gerichte banken en cryptocurrency-uitwisselingen.
“Als er geen match wordt gevonden, zal Coyote UIA gebruiken om de UI -kindelementen van het venster te parseren in een poging om browsertabs of adresstaven te identificeren,” legde Peled uit. “De inhoud van deze UI-elementen zal dan worden verwijderd met dezelfde lijst met adressen uit de eerste vergelijking.”
Maar liefst 75 verschillende financiƫle instellingen zijn het doelwit van de nieuwste versie van de malware, een stijging van 73 gedocumenteerd door Fortinet Fortiguard Labs eerder in januari.
“Zonder UIA is het parseren van de sub-elementen van een andere toepassing een niet-triviale taak,” voegde Akamai eraan toe. “Om de inhoud van sub-elementen binnen een andere toepassing effectief te kunnen lezen, zou een ontwikkelaar een zeer goed begrip moeten hebben van hoe de specifieke doeltoepassing is gestructureerd.”
“Coyote kan controles uitvoeren, ongeacht of de malware online is of in een offline modus werkt. Dit verhoogt de kansen om de bank van een slachtoffer of crypto -uitwisseling met succes te identificeren en hun referenties te stelen.”
