首例滥用微软 UI 自动化框架的恶意软件:Coyote 木马精准锁定 75 家巴西金融机构
- 浏览次数 657
- 喜欢 0
HackerNews 编译,转载请注明出处:
安全研究人员确认,新型Coyote银行木马成为首个在真实攻击中滥用微软UI自动化框架(UIA)的恶意软件。该木马锁定75家银行及加密货币平台用户,主要针对巴西地区,通过UIA技术窃取登录凭证,验证了Akamai在2024年12月提出的技术预警。
攻击流程剖析
- 目标识别 木马首先比对活动窗口标题与预设的75家金融机构/交易所地址列表。若未匹配,则启动UIA框架深度扫描浏览器标签页及地址栏内容。
- 凭证窃取
- UIA技术滥用:利用微软为辅助工具设计的合法框架,解析其他应用程序的UI子元素,无需了解目标程序内部结构即可提取隐藏数据。
- 离线下操作:即使无网络连接,仍可持续执行检测流程,大幅提升攻击成功率。
攻击升级
除窃取数据外,攻击者可操纵UI元素实施隐蔽攻击,例如篡改浏览器地址栏诱导用户跳转钓鱼网站,或通过最小化视觉痕迹实施定向重定向。
技术演变与影响
- 历史背景:2024年2月首次发现的Coyote木马原以键盘记录和钓鱼覆盖层攻击拉美金融机构,新变种则通过UIA绕过端点检测与响应(EDR)工具的监控。
- 攻击范围扩展:目标金融机构从今年1月的73家增至75家,涵盖传统银行与加密货币平台。
- 多重窃密手段:同步采用键盘记录、屏幕截图及覆盖虚假界面等传统手法,形成复合攻击链。
防御建议
- 监控异常行为:检测陌生进程加载
UIAutomationCore.dll的行为,追踪以UIA_PIPE_开头的命名管道活动。 - 威胁狩猎:使用osquery工具标记与UIA框架交互的可疑进程,部署专业威胁监测服务识别异常UIA活动。
- 风险认知:Akamai强调UIA滥用可能成为新型攻击向量,需警惕其被广泛利用的趋势。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文