بدافزار Coyote با بهره‌برداری از قابلیت‌های دسترس‌پذیری ویندوز، داده‌ها را سرقت می‌کند

یک نسخه جدید از تروجان بانکی «Coyote» شروع به سوءاستفاده از یکی از قابلیت‌های دسترسی‌پذیری ویندوز، یعنی Microsoft’s UI Automation framework (UIA) کرده است تا سایت‌های بانکی و صرافی‌های رمزارز که توسط کاربر باز می‌شوند را شناسایی کرده و در صورت امکان، اطلاعات ورود را به سرقت ببرد.

Microsoft UIA یک چارچوب دسترسی‌پذیری در ویندوز است که برای تعامل، بررسی و کنترل عناصر رابط کاربری (UI) در برنامه‌ها توسط فناوری‌های کمکی طراحی شده است.

برنامه‌های ویندوز عناصر رابط کاربری خود را از طریق یک ساختار درختی موسوم به UI Automation Tree افشا می‌کنند، و API مربوط به UIA این امکان را فراهم می‌کند تا این ساختار پیمایش شده، ویژگی‌های هر عنصر استخراج شده، و با آن‌ها تعامل برقرار شود.

پژوهشگران Akamai در دسامبر ۲۰۲۴ نسبت به احتمال سوءاستفاده از Windows UI Automation (UIA) برای سرقت اطلاعات ورود هشدار داده بودند و تأکید کرده بودند که این تکنیک قادر است سامانه‌های EDR (Endpoint Detection and Response) را دور بزند.

اکنون همان تیم تحقیقاتی گزارش داده‌اند که از فوریه ۲۰۲۵ شاهد حملاتی در محیط واقعی بوده‌اند که از این تکنیک استفاده می‌کنند؛ این مورد، نخستین نمونه واقعی از بدافزاری است که از Microsoft UIA برای سرقت داده‌ها سوءاستفاده می‌کند.

تحول Coyote و سوءاستفاده از UIA

Coyote یک تروجان بانکی است که تلاش می‌کند اطلاعات ورود مربوط به ۷۵ اپلیکیشن بانکی و صرافی رمزارز را سرقت کند و عمدتاً کاربران برزیلی را هدف قرار می‌دهد.

این بدافزار نخستین بار در فوریه ۲۰۲۴ مستندسازی شد و از روش‌هایی مانند Keylogging و Phishing Overlay بهره می‌برد. از آن زمان تاکنون، توسعه قابل‌توجهی داشته است.

به گزارش Akamai، در حالی‌ که نسخه جدید Coyote همچنان از روش‌های سنتی برای سرقت اطلاعات از اپلیکیشن‌های مشخص‌شده استفاده می‌کند، در مواجهه با سرویس‌های بانکی یا رمزارزی مبتنی بر وب که در مرورگر باز می‌شوند، از قابلیت UIA بهره می‌گیرد.

اگر Coyote نتواند از طریق عنوان پنجره هدف را شناسایی کند، با استفاده از UIA آدرس وب را از عناصر رابط کاربری مرورگر (مانند تب‌ها یا نوار آدرس) استخراج می‌کند و آن را با فهرست کدشده‌ای از ۷۵ سرویس هدف مقایسه می‌کند.

Akamai در این گزارش توضیح می‌دهد:

«اگر تطابقی پیدا نشود، Coyote از UIA برای پیمایش در میان عناصر فرزند رابط کاربری پنجره استفاده می‌کند تا تب‌ها یا نوار آدرس مرورگر را شناسایی کند. سپس محتوای این عناصر با همان فهرست آدرس‌ها مطابقت داده می‌شود.»

برخی از بانک‌ها و صرافی‌هایی که از این روش شناسایی می‌شوند عبارتند از: Banco do Brasil، CaixaBank، Banco Bradesco، Santander، Original Bank، Sicredi، Banco do Nordeste، Expanse Apps و صرافی‌های رمزارز مانند Binance، Electrum، Bitcoin، Foxbit و غیره.

گرچه سوءاستفاده از این قابلیت دسترسی‌پذیری ویندوز در مرحله شناسایی (Reconnaissance) متوقف می‌شود، اما Akamai یک نمونه Proof-of-Concept منتشر کرده که نشان می‌دهد چگونه UIA می‌تواند برای سرقت اطلاعات ورود واردشده به این سایت‌ها نیز مورد استفاده قرار گیرد.

سیستم‌های دسترسی‌پذیری با هدف فراهم کردن امکان استفاده کامل از دستگاه برای افراد دارای معلولیت طراحی شده‌اند و به همین دلیل از قدرت بالایی برخوردارند. اما همین قدرت می‌تواند مورد سوءاستفاده مخرب نیز قرار گیرد.

در سیستم‌عامل Android، این مشکل ابعاد گسترده‌ای پیدا کرده است و بدافزارها به طور وسیعی از Accessibility Services سوءاستفاده می‌کنند. شرکت Google طی سال‌های اخیر، اقدامات متعددی برای مقابله با این تهدیدات پیاده‌سازی کرده است.