Новый вариант банковского трояна Coyote стал первым вредоносным ПО, эксплуатирующим фреймворк Windows UI Automation (UIA) для кражи учетных данных. Цель — пользователи из Бразилии, атакуемые через 75 финансовых институтов и криптобирж.
Исследователь Akamai Томер Пелед подтвердил: зловред использует UIA — легальный инструмент для вспомогательных технологий — чтобы извлекать логины и пароли. В декабре 2024 года Akamai уже демонстрировала PoC-злоупотребление этой системой.
Алгоритм работы точен. Сначала троян вызывает Windows API
Ключевая опасность — обход традиционных защит. Как пояснил Пелед: «Парсинг элементов другого приложения без UIA требует глубокого понимания его структуры». Технология упрощает поиск вкладок браузера и адресных строк, сравнивая их содержимое с целевым списком.
По данным Fortinet FortiGuard Labs, в январе этого года Coyote атаковал лишь 73 организации. Рост до 75 подтверждает эволюцию угрозы. Троян сохраняет классические функции: кейлоггинг, скриншоты, фишинговые наложения на страницы входа.
Важно: атака работает онлайн и офлайн. Это повышает шансы на кражу данных даже при нестабильном соединении.
Kaspersky впервые выявила Coyote в 2024 году. Теперь его тактика копирует Android-трояны, злоупотребляющие службами доступности. UIA открывает аналогичные риски для Windows — от хищения данных до выполнения кода.
Бразильский фокус не случаен: регион лидирует по атакам на финсектор. Эксперты предупреждают: злоумышленники активно тестируют UIA, и Coyote — лишь первый звонок.
Изображение носит иллюстративный характер
Исследователь Akamai Томер Пелед подтвердил: зловред использует UIA — легальный инструмент для вспомогательных технологий — чтобы извлекать логины и пароли. В декабре 2024 года Akamai уже демонстрировала PoC-злоупотребление этой системой.
Алгоритм работы точен. Сначала троян вызывает Windows API
GetForegroundWindow(), захватывая заголовок активного окна. Если он не совпадает с жестко заданным списком целей (75 URL банков и бирж), Coyote сканирует дочерние элементы интерфейса через UIA. Ключевая опасность — обход традиционных защит. Как пояснил Пелед: «Парсинг элементов другого приложения без UIA требует глубокого понимания его структуры». Технология упрощает поиск вкладок браузера и адресных строк, сравнивая их содержимое с целевым списком.
По данным Fortinet FortiGuard Labs, в январе этого года Coyote атаковал лишь 73 организации. Рост до 75 подтверждает эволюцию угрозы. Троян сохраняет классические функции: кейлоггинг, скриншоты, фишинговые наложения на страницы входа.
Важно: атака работает онлайн и офлайн. Это повышает шансы на кражу данных даже при нестабильном соединении.
Kaspersky впервые выявила Coyote в 2024 году. Теперь его тактика копирует Android-трояны, злоупотребляющие службами доступности. UIA открывает аналогичные риски для Windows — от хищения данных до выполнения кода.
Бразильский фокус не случаен: регион лидирует по атакам на финсектор. Эксперты предупреждают: злоумышленники активно тестируют UIA, и Coyote — лишь первый звонок.
