В современном цифровом мире безопасность пользовательских данных становится главной задачей как для компаний, так и для индивидуальных пользователей. Однако киберпреступники не стоят на месте и постоянно совершенствуют методы атак. Одним из самых свежих и опасных примеров является банковский троян Coyote, который использует технологию Microsoft UI Automation (UIA) для кражи персональных банковских данных. Такой способ взлома стал первой в истории зафиксированной реализацией злоупотребления этой официальной технологией для мошеннических целей. UI Automation – это фреймворк Microsoft, предназначенный для обеспечения доступности программного обеспечения для людей с ограниченными возможностями и для поддержки автоматизированного тестирования приложений.
UIA позволяет внешним программам взаимодействовать с элементами пользовательского интерфейса, считывать их состояние и содержимое. Изначально этот инструмент должен был служить исключительно во благо, например, помогая экранным читалкам воспроизводить информацию. Однако, как это часто бывает, злоумышленники нашли способ использовать UIA для извлечения конфиденциальных данных. Разработка и внедрение нового варианта вредоносного ПО Coyote стало настоящим вызовом для специалистов по кибербезопасности. Согласно исследованию компании Akamai, именно этот троян первым в реальной эксплуатации применяет возможности UI Automation для кражи учетных данных из финансовых приложений и криптообменников.
При этом основным географическим направлением атаки является Бразилия — страна с населением, активно использующим онлайн-банкинг и цифровые валюты. Механика работы Coyote поражает своей изощрённостью. После заражения системы троян связывается с командным сервером, отправляя информацию о жертве, включая имя пользователя, имя компьютера и список используемых финансовых сервисов. Для определения актуального веб-сайта, на котором находится пользователь, вредоносное ПО использует функцию GetForegroundWindow() из Windows API. Через нее троян получает идентификатор активного окна и его заголовок, сверяя данные с базой URL адресов банков и криптовалютных бирж, охватывающей 75 различных финансовых учреждений и сервисов.
Если заголовок окна не совпадает с ни одним адресом из списка, Coyote расширяет поиск, применяя возможности UI Automation. Он сканирует дочерние элементы интерфейса активного окна, пытаясь определить вкладки браузера и адресную строку. После идентификации соответствующих элементов троян снова сверяет обнаруженные веб-адреса с базой. Этот этап значительно облегчает злоумышленникам задачу, поскольку без использования UIA изъятие информации из компонентов другого приложения требует глубоких технических знаний и индивидуального подхода к разным целевым программам. Необходимо отметить, что Coyote не ограничивается одним способом кражи данных.
Вредоносное ПО сочетает привычные методы – кейлоггинг и фишинговые оверлеи с инновационным применением UIA. Ранее Coyote зарекомендовал себя как опасный агент, способный обходить системы защиты благодаря маскировке под пакет обновлений с помощью инструмента Squirrel, что позволяет внедрять и обновлять вредоносные приложения в Windows без повышения подозрений. Как только жертва переходит на целевой банковский сайт или криптобиржу и вводит свои учетные данные, данные захватываются и отправляются на серверы злоумышленников. Дальнейшие действия могут включать слив средств с банковских счетов, проведение несанкционированных переводов или кражу цифровых активов. Такой метод представляет серьёзную угрозу не только для индивидуальных пользователей, но и для компаний, которые могут столкнуться с ущербом из-за компрометации финансовых реквизитов сотрудников.
Инцидент с Coyote демонстрирует, насколько опасным может быть злоупотребление легитимными программными инструментами. Фреймворк UI Automation создавался с целью поддержать пользователей с особыми потребностями, однако внедрение в него механизмов аутентификации и взаимодействия с внешними приложениями создало возможность для новых видов атак. Эксперт по безопасности Tomer Peled ещё в конце 2024 года предупреждал об угрозах, связанных с использованием UIA для кражи данных и выполнения кода, а теперь эти опасения подтвердились на практике. Для противодействия таким угрозам специалисты по безопасности рекомендуют использовать многоуровневую защиту. Это должно включать в себя современные антивирусные решения с эвристическим анализом, мониторинг активности программ, управление доступом к сенситивным API в Windows и регулярное обновление систем.
Также важно соблюдать осторожность при загрузке и установке программного обеспечения из непроверенных источников, так как инструменты вроде Squirrel могут маскировать вредоносные загрузчики под легитимные обновления. Пользователям стоит обратить внимание на дополнительные средства защиты, такие как двухфакторная аутентификация (2FA) для финансовых сервисов, использование аппаратных ключей безопасности и регулярное изменение паролей. Важно помнить, что даже сложные технологии не способны заменить базовые правила информационной гигиены и осознанность при работе с персональными данными. Coyote – лишь одна из многочисленных угроз, возникающих в условиях стремительного развития технологий и растущей цифровизации финансовых услуг. Однако примеры злоупотребления UI Automation выводят на передний план необходимость пересмотра подходов к безопасности и усиления как пользовательских, так и корпоративных систем защиты.
Понимание того, каким образом вредоносное ПО использует возможности операционной системы, поможет организациям и конечным пользователям своевременно выявлять и блокировать атаки. В эпоху, когда злоумышленники применяют продвинутые методы и комбинируют различные техники для обхода защиты, никакая система не должна оставаться уязвимой. Противостояние таким угрозам требует постоянного обновления знаний и внедрения новейших механизмов безопасности. Таким образом, новый вектор атак, реализованный в Coyote, подчеркивает важность комплексного подхода к кибербезопасности. Использование Microsoft UI Automation для кражи учетных данных стало серьёзным предупреждением, которое не стоит игнорировать компаниям и пользователям, работающим с финансовыми приложениями.
Ежедневная бдительность и применение современных защитных мер помогут снизить риски и уберечь конфиденциальную информацию от кражи и злоупотреблений.
