2025年7月23日Ravie LakshmananWindowsセキュリティ / 暗号通貨
Coyoteとして知られるWindowsバンキングトロイの木馬は、WindowsのアクセシビリティフレームワークであるUIオートメーション(UIA)を悪用して機密情報を収集する、初めて確認されたマルウェアとなりました。
「新しいCoyote亜種はブラジルのユーザーを標的としており、UIAを利用して75の銀行機関のウェブアドレスや暗号通貨取引所に関連する認証情報を抽出しています」とAkamaiのセキュリティ研究者Tomer Peledは分析で述べています。
Coyoteは2024年にKasperskyによって初めて明らかにされ、ブラジルのユーザーを標的とすることで知られています。このマルウェアにはキーストロークの記録、スクリーンショットの取得、金融機関のログインページ上にオーバーレイを表示する機能などが備わっています。
Microsoft .NET Frameworkの一部であるUIAは、Microsoftが提供する正規の機能であり、スクリーンリーダーやその他の支援技術製品がデスクトップ上のユーザーインターフェース(UI)要素にプログラム的にアクセスできるようにします。
このUIAがデータ窃取を含む悪用の経路となり得ることは、2024年12月にAkamaiが証明概念(PoC)として実証しており、ウェブインフラ企業はこれが認証情報の窃取やコードの実行に利用される可能性があると指摘していました。
ある意味で、Coyoteの最新の手口は、野生で発見されている様々なAndroidバンキング型トロイの木馬と似ており、これらもOSのアクセシビリティサービスを悪用して貴重なデータを取得することがよくあります。
Akamaiの分析によると、このマルウェアはGetForegroundWindow()というWindows APIを呼び出し、アクティブウィンドウのタイトルを抽出して、標的となる銀行や暗号通貨取引所のウェブアドレスがハードコードされたリストと照合します。
「一致が見つからない場合、CoyoteはUIAを使ってウィンドウ内のUI子要素を解析し、ブラウザのタブやアドレスバーを特定しようとします」とPeledは説明しています。「これらのUI要素の内容は、最初の比較で使ったのと同じアドレスリストと再度照合されます。」
最新バージョンのマルウェアは、これまでに記録された73件から増加し、最大75の金融機関を標的としています(Fortinet FortiGuard Labsが今年1月に記録)。
「UIAがなければ、他のアプリケーションのサブ要素を解析するのは簡単な作業ではありません」とAkamaiは付け加えています。「他のアプリケーション内のサブ要素の内容を効果的に読み取るには、開発者は特定のターゲットアプリケーションの構造を非常によく理解している必要があります。」
「Coyoteは、マルウェアがオンラインであろうとオフラインモードで動作していようと、チェックを実行できます。これにより、被害者の銀行や暗号通貨取引所を特定し、認証情報を窃取する成功率が高まります。」
翻訳元: https://thehackernews.com/2025/07/new-coyote-malware-variant-exploits.html