CoyoteマルウェアがWindowsのアクセシビリティフレームワークを悪用しデータ窃取

新たなバンキングトロイの木馬「Coyote」の亜種が、Windowsのアクセシビリティ機能であるMicrosoftのUI Automationフレームワークを悪用し、デバイス上でアクセスされた銀行や暗号通貨取引所のサイトを特定して、認証情報の窃取を狙っています。

Microsoft UIAは、支援技術がアプリケーションのユーザーインターフェース（UI）要素と対話・検査・制御できるように設計されたWindowsのアクセシビリティフレームワークです。

WindowsアプリはUI Automationツリーを通じてUI要素を公開しており、UIA APIはそのツリーをたどり、各要素のプロパティを問い合わせ、操作する方法を提供します。

Akamaiの研究者は、2024年12月にWindows UIAが認証情報の窃取に悪用される可能性について警告していました。この手法はエンドポイント検出および対応（EDR）保護を回避できることを強調しています。

現在、同じ研究者たちは、2025年2月以降この手法を利用した攻撃が実際に確認されていると報告しており、Microsoft UIAを悪用したデータ窃取マルウェアの初の実例となりました。

Coyoteの進化とUIAの悪用

Coyoteは、主にブラジルのユーザーを標的とし、75の銀行および暗号通貨取引所アプリの認証情報を窃取しようとするバンキングトロイの木馬です。

このマルウェアは2024年2月に初めて記録され、キーロギングやフィッシングオーバーレイなどの戦術を利用しており、それ以降大きく進化しています。

Akamaiによると、最新のCoyote亜種は、従来の手法でハードコードされたアプリからデータを窃取し続ける一方、ユーザーがブラウザでウェブベースの銀行や暗号通貨サービスを開いた場合にはUIAの悪用を追加しています。

Coyoteがウィンドウタイトルからターゲットを特定できない場合、UIAを利用してブラウザのUI要素（タブやアドレスバー）からウェブアドレスを抽出します。最終的に、それを75のターゲットサービスのハードコードリストと照合します。

「一致が見つからない場合、CoyoteはUIAを使ってウィンドウのUI子要素を解析し、ブラウザのタブやアドレスバーを特定しようとします」とAkamaiはレポートで説明しています。

「これらUI要素の内容は、最初の比較で使ったアドレスリストと再度照合されます。」

この方法で特定される銀行や取引所には、Banco do Brasil、CaixaBank、Banco Bradesco、Santander、Original bank、Sicredi、Banco do Nordeste、Expanseアプリ、暗号通貨（Binance、Electrum、Bitcoin、Foxbitなど）が含まれます。

このWindowsアクセシビリティ機能の悪用は偵察段階で止まっていますが、AkamaiはUIAがこれらのサイトの入力された認証情報を窃取するためにも悪用できることを示す概念実証デモを共有しました。

BleepingComputerは、Windows上でのUIA悪用を防ぐためのセーフガード導入の可能性についてMicrosoftに問い合わせましたが、すぐにコメントは得られませんでした。

アクセシビリティシステムは、障害を持つ人々がデバイスの機能を十分に活用できるように強力に設計されています。しかし、この強力さが悪意ある利用も招いてしまいます。

Androidでは、この問題が大規模に拡大しており、マルウェアがアクセシビリティサービスを広範囲に悪用しています。Googleはこれまでに複数の対策を実施してきました。