コンテンツにスキップするには Enter キーを押してください

バンキングトロイの木馬「Coyote」がWindows UIオートメーションを悪用

投稿日 2025年7月24日

A snarling, angry coyote

出典:Danita Delimont(Shutterstock経由)

Coyoteは、2024年2月からラテンアメリカで混乱を引き起こしているバンキングトロイの木馬であり、感染したシステム上のアカウント情報を探すためにWindows UIオートメーションフレームワークを悪用するという新たな手法を打ち立てました。

この進展は、マルウェアが検知を回避し機密データを抽出するために、正規のWindows機能を活用する方法に変化が生じていることを示しているため、重要です。この亜種が新たなトレンドの始まりを示しているかどうかは、まだ判断が早いですが、この手法は効果的である可能性があるとAkamaiの研究者は述べています。彼らは、Coyoteの最新亜種が、ブラジルの最大75の銀行や暗号通貨取引所のユーザーのログイン認証情報を標的にしていることを観測しました。

Windows UIAの悪用

Windows UIオートメーション(UIA)は、障害を持つ人々がWindowsシステムとより簡単にやり取りできるように設計されたMicrosoftのフレームワークです。これにより、ソフトウェアがWindowsアプリのインターフェースを制御できるため、スクリーンリーダーやテストツールが人間のユーザーと同じようにボタン、メニュー、テキストフィールドにアクセスし操作することが可能になります。例えば、UIAはNarratorのようなスクリーンリーダーがテキストを音声に変換し、ユーザーが画面上の内容を理解できるように支援します。

Windows UIAは数年前から存在しており、現在では主に音声入力や文法修正アプリケーション内で使用されていると、Akamaiのセキュリティ研究者Tomer Peled氏は述べています。今年初めのレポートで、Peled氏はUIAの危険性について、マルウェア作成者にとって便利で検知が困難な攻撃ベクターとなり得ると警告しました。ユーザーを騙してUIオートメーションを利用するプログラムを実行させることができれば、攻撃者は任意のコード実行、データ窃取、ブラウザのフィッシングサイトへのリダイレクトなど、比較的目立たずに悪意ある行動を取ることができると彼は警告しています。

「UIAを習得するのは簡単なことではありませんが、一度基盤が整えば、多くのシナリオで非常にコスト効率が高く、効果的です」と彼はDark Readingへのコメントで述べています。

Coyote自体は、バンキングトロイの木馬であり、過去18か月間、主にブラジルのWindowsユーザーを標的にしてきました。多くのバンキングマルウェアと同様に、Coyoteはキーロガー、スクリーンショット、フィッシングオーバーレイなど、さまざまな巧妙な手口を用いてオンラインバンキングアカウントへのアクセスに必要な認証情報の窃取を試みます。今年初め、Fortinetの研究者は、Coyoteが悪意のあるWindowsショートカット(.LNK)ファイルを利用してシステムへの初期アクセスを得ていると説明しました。被害者は通常、ZIPファイル内に.LNKショートカットが含まれたフィッシングメールを受け取ります。ファイルを開くと、PowerShellコマンドが密かに実行され、Coyoteを含む追加のペイロードがダウンロードされます。

システムにインストールされると、マルウェアはコンピュータ名、ユーザー名、その他のシステム関連情報など、システムに関するコマンド&コントロール(C2)情報を送信します。また、被害者の画面で現在開かれているウィンドウを調べ、そのタイトルが標的リストにある銀行や暗号通貨取引所のウェブサイトと一致するかどうかを確認します。

執拗な探索者

この方法がうまくいかない場合、Coyoteはさらに高度な手法に切り替え、Windows UIオートメーションを利用して、ユーザーがその時アクセスしているウェブサイトの個々のタブやアドレスバーから関心のある情報を探そうとします。Peled氏によれば、攻撃者はWindows UIAを使わずとも同じ情報を取得する他の方法も持っています。例えば、攻撃者はブラウザにコードを注入して開いているタブの内容を抽出しようとすることができます。「しかし、これはウェブサイトのUIの些細な変更やブラウザバージョンの違いによって簡単に動作しなくなります」とPeled氏は述べています。「それに対し、UIAは同じ目的を達成するための、はるかにシンプルで信頼性が高く汎用的な方法を提供します。」

特筆すべきは、Coyoteがユーザーがオフラインでも動作し続ける点です。接続状況に関係なく、システムにインストールされるとCoyoteは2つのスレッドを開始します。1つはオンライン時用、もう1つはオフライン時用です。「これら2つのスレッドはいずれも、被害者のバンキングタイプを探索するループです」と彼は述べています。マルウェアがオフライン時に探索機能の最後まで到達すると、再度C2サーバーへの接続を試みます。「失敗すると、すぐに再びループを開始します。バンキングタイプの探索以外にも、Coyoteは後で使用するためにコンピュータモデルやユーザー名など、被害者に関する他の情報も探します。」

Coyoteは、攻撃者がマルウェアや手口を急速に進化させ、防御側より一歩先を行こうとしていることの新たな実例です。今回のケースでは、UIオートメーションのような正規のWindowsシステム機能を悪用することで、Coyoteの作成者は従来の検知メカニズムをすり抜けてマルウェアを潜り込ませることに成功しました。アナリストたちは、こうした脅威が、通常のエンドポイント検知・対応(EDR)に加え、よりコンテキスト認識型で振る舞いベースの検知メカニズムを含む多層防御の必要性を強調していると長らく指摘しています。

翻訳元: https://www.darkreading.com/cyber-risk/banking-trojan-coyote-windows-ui-automation

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です