Akamaiは、Coyoteバンキングトロイの木馬の最近の亜種を分析し、MicrosoftのUI Automation(UIA)フレームワークを悪用して侵害されたデバイスからデータを取得していることを発見しました。
実際、Akamaiによると、CoyoteはUIAフレームワークを悪用した最初のマルウェアです。
このマルウェアは少なくとも2024年2月から存在しており、ラテンアメリカのWindowsデバイスを標的に使用されています。キーロギングやフィッシングオーバーレイを利用して被害者のデータ、特に銀行や暗号通貨サービスの認証情報を収集します。
UIAはWindowsアプリケーション向けのアクセシビリティフレームワークであり、デスクトップ上のUI要素へのプログラムによるアクセスを提供します。「これにより、スクリーンリーダーなどの支援技術製品が、UIに関する情報をエンドユーザーに提供したり、標準入力以外の手段でUIを操作したりできるようになります」とMicrosoftは説明しています。
Akamaiは2024年12月に、攻撃者がUIAを悪用して、フレームワークを利用した特別に作成されたアプリケーションをユーザーに実行させることで悪意のある目的に利用できると警告しました。
同社の研究者は、攻撃者がUIAを悪用してステルスなコマンド実行、ブラウザのリダイレクト、機密データの窃取を行う方法を示しました。これらの攻撃はWindows XP以降のすべてのバージョンで動作し、エンドポイント検出および応答ソリューションを回避できます。
Akamaiは最近、このリスクが理論上のものではなく、マルウェア開発者が実際にUIAを悪用し始めていることを発見しました。Coyoteは実際に野生でこれを行った最初のマルウェアであるようです。
UIAは機密データの窃取に悪用される可能性がありますが、Coyoteの開発者は被害者がどの金融サービスを利用しているかを特定するためにUIAを悪用しています。マルウェアはまずWindows APIを使用して、開いているウィンドウのタイトルを取得し、それが銀行や暗号通貨サービスに関連するハードコードされたウェブサイトアドレスのリストと一致するかどうかを確認します。
広告。スクロールして続きをお読みください。
一致が見つからない場合、マルウェアはUIAを使って「ウィンドウのUI子要素を解析」します。これにより、ブラウザのタブやアドレスバーがハードコードされたウェブサイトアドレスと一致するかどうかを確認できます。
「UIAがなければ、他のアプリケーションのサブ要素を解析するのは簡単な作業ではありません」とAkamaiのTomer Peled氏はブログ投稿で説明しています。「他のアプリケーション内のサブ要素の内容を効果的に読み取るには、開発者は特定のターゲットアプリケーションがどのように構成されているかを非常によく理解している必要があります。」
「Coyoteは、マルウェアがオンラインかオフラインモードで動作しているかに関係なくチェックを実行できます。これにより、被害者の銀行や暗号通貨取引所を特定し、認証情報を盗む可能性が高まります」とPeled氏は付け加えました。
翻訳元: https://www.securityweek.com/coyote-banking-trojan-first-to-abuse-microsoft-uia/