Фахівці з кібербезпеки виявили нову загрозливу еволюцію банківського трояна Coyote, який почав експлуатувати Microsoft UI Automation (UIA) для виявлення та атак на банківські й криптовалютні платформи. Ця інноваційна техника представляє революційний підхід до викрадення фінансових даних, зловживаючи функціями операційної системи, розробленими для допомоги людям з обмеженими можливостями.
Що таке Microsoft UI Automation та як його використовують кіберзлочинці
Microsoft UI Automation являє собою програмний інтерфейс, створений для забезпечення взаємодії допоміжних технологій з елементами користувацького інтерфейсу Windows-додатків. Цей фреймворк дозволяє зчитувати властивості елементів інтерфейсу, керувати ними та відстежувати зміни в режимі реального часу.
Архітектура додатків представляється у вигляді ієрархічного дерева UI Automation, що надає API UIA можливість переглядати його вміст, отримувати детальну інформацію про елементи інтерфейсу та емулювати дії користувача. Первісно ця технологія розроблялася для забезпечення повноцінного доступу до функцій пристроїв для людей з особливими потребами.
Прогнози експертів та реалізація загрози
Спеціалісти компанії Akamai ще в грудні 2024 року попереджали про потенційні ризики використання UIA для викрадення облікових даних. Дослідники підкреслювали, що ця техніка здатна обійти захисні механізми EDR-систем у всіх версіях Windows, починаючи з Windows XP.
Прогнози фахівців підтвердилися у лютому 2025 року, коли були зафіксовані перші реальні атаки з використанням цієї методики. Coyote став першим відомим шкідливим ПЗ, що зловживає можливостями Microsoft UIA для крадіжки конфіденційних даних.
Еволюція та технічні особливості трояна Coyote
Банківський троян Coyote вперше був виявлений у лютому 2024 року та спочатку спеціалізувався на викраденні облікових даних з 75 банківських і криптовалютних додатків, переважно орієнтуючись на користувачів з Бразилії. На початковому етапі шкідлива програма використовувала традиційні методи: кейлоггінг та фішингові накладки.
Сучасна версія Coyote зберегла класичні методи атак, але отримала додаткові функції для експлуатації UIA. Ці можливості активуються, коли користувач відкриває в браузері банківські або криптовалютні сервіси.
Механізм дії нових атак
Коли Coyote не може ідентифікувати цільовий об’єкт за заголовком вікна, він задіює UIA для витягування веб-адреси з елементів користувацького інтерфейсу браузера, включаючи вкладки та адресний рядок. Отримані дані порівнюються з жорстко закодованим списком з 75 цільових фінансових сервісів.
Серед основних цілей трояна: Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original bank, Sicredi, Banco do Nordeste, а також криптовалютні платформи Binance, Electrum, Bitcoin, Foxbit та інші.
Потенціал розвитку загрози та захисні заходи
Хоча в поточній реалізації зловживання UIA обмежується фазою розвідки, експерти Akamai продемонстрували можливість використання цієї технології для безпосереднього викрадення облікових даних з цільових веб-сайтів.
Дослідники зазначають: “Парсинг вкладених елементів іншого додатка без UIA представляє нетривіальне завдання. Для ефективного читання вмісту вкладених елементів розробник повинен глибоко розуміти архітектуру конкретного цільового додатка”.
Перевага використання UIA полягає в тому, що Coyote може виконувати перевірки незалежно від режиму роботи (онлайн або офлайн), що значно підвищує ймовірність успішної ідентифікації банківських і криптовалютних платформ для подальшого викрадення облікових даних.
Дана ситуація нагадує проблему зловживання Accessibility Services в операційній системі Android, яка вже набула масового характеру. Поява аналогічних технік у Windows-середовищі потребує негайної уваги з боку фахівців з інформаційної безпеки та розробки відповідних захисних механізмів. Користувачам рекомендується використовувати багатофакторну автентифікацію, регулярно оновлювати антивірусне ПЗ та бути особливо обережними при роботі з фінансовими сервісами онлайн.