โทรจันที่มุ่งเป้าโจมตีระบบธนาคารบน Windows ที่รู้จักกันในชื่อ Coyote กลายเป็นมัลแวร์ตัวแรกที่ถูกพบว่าใช้ช่องโหว่ของระบบ accessibility framework ของ Windows ที่ชื่อว่า UI Automation (UIA) เพื่อขโมยข้อมูลสำคัญ
นักวิจัยด้านความปลอดภัยของ Akamai Tomer Peled ระบุในการวิเคราะห์ว่า “Coyote เวอร์ชันใหม่นี้มุ่งเป้าโจมตีผู้ใช้งานในประเทศบราซิล และใช้ UIA เพื่อดึงข้อมูลบัญชีผู้ใช้งานที่เชื่อมโยงกับที่อยู่เว็บไซต์ และการแลกเปลี่ยนเงินคริปโตฯ ของสถาบันการเงินจำนวน 75 แห่ง”
Coyote ถูกพบครั้งแรกโดย Kaspersky ในปี 2024 ซึ่งเป็นที่รู้จักในการโจมตีผู้ใช้งานในบราซิล โดยมาพร้อมกับความสามารถในการบันทึกการกดแป้นพิมพ์ ถ่ายภาพหน้าจอ และแสดง overlay บนหน้าล็อกอินของสถาบันทางการเงินต่าง ๆ
UIA ซึ่งเป็นส่วนหนึ่งของ Microsoft .NET Framework เป็นคุณสมบัติที่ Microsoft นำเสนอเพื่อให้โปรแกรมอ่านหน้าจอ และผลิตภัณฑ์เทคโนโลยีช่วยเหลืออื่น ๆ สามารถเข้าถึง user interface (UI) ได้ผ่านโปรแกรมบนเดสก์ท็อปได้ด้วยการเขียนโปรแกรม
ความสามารถของ UIA ที่อาจถูกนำมาใช้ในทางที่ผิด เช่น การขโมยข้อมูล เคยถูกสาธิตให้เห็นแล้วในรูปแบบ PoC โดย Akamai เมื่อเดือนธันวาคม 2024 โดยบริษัทโครงสร้างพื้นฐานเว็บรายนี้ระบุว่า UIA อาจถูกใช้เพื่อขโมยข้อมูลบัญชีผู้ใช้ หรือรันโค้ดก็ได้
ในบางแง่มุม วิธีการโจมตีล่าสุดของ Coyote มีลักษณะคล้ายกับ banking trojans บน Android หลายตัวที่ถูกตรวจพบ ซึ่งมักนำ accessibility services ของระบบปฏิบัติการมาใช้เป็นอาวุธเพื่อดึงข้อมูลที่มีความสำคัญ
จากการวิเคราะห์ของ Akamai พบว่ามัลแวร์นี้เรียกใช้ Windows API ที่ชื่อว่า GetForegroundWindow() เพื่อดึงชื่อหน้าต่างที่กำลังเปิดอยู่ แล้วนำไปเปรียบเทียบกับรายการเว็บไซต์ของธนาคาร และเว็บแลกเปลี่ยนคริปโตฯ ที่ฝังมาในโค้ด
Peled อธิบายว่า “หากไม่มีรายการใดตรงกัน Coyote จะใช้ UIA เพื่อวิเคราะห์องค์ประกอบย่อยของ UI ในหน้าต่างนั้น เพื่อพยายามตรวจจับแท็บเบราว์เซอร์ หรือ address bar” “จากนั้นเนื้อหาขององค์ประกอบ UI เหล่านี้จะถูกนำมาเปรียบเทียบกับรายการเว็บไซต์เดิมอีกครั้ง”
สถาบันการเงินมากถึง 75 แห่งตกเป็นเป้าหมายของมัลแวร์เวอร์ชันล่าสุดนี้ ซึ่งเพิ่มขึ้นจาก 73 แห่งที่ Fortinet FortiGuard Labs บันทึกเมื่อต้นเดือนมกราคมที่ผ่านมา
Akamai ระบุเพิ่มเติมว่า “หากไม่มี UIA การวิเคราะห์องค์ประกอบย่อยของแอปพลิเคชันอื่นทำได้ยากมาก”
“เพื่อให้สามารถอ่านเนื้อหาขององค์ประกอบย่อยภายในแอปพลิเคชันอื่นได้อย่างมีประสิทธิภาพ นักพัฒนาจำเป็นต้องมีความเข้าใจอย่างดีว่าแอปพลิเคชันเป้าหมายนั้นมีโครงสร้างอย่างไร”
“Coyote สามารถทำการตรวจสอบได้โดยไม่ขึ้นกับว่ามัลแวร์อยู่ในโหมดออนไลน์ หรือออฟไลน์ ซึ่งเพิ่มโอกาสในการระบุธนาคาร หรือเว็บไซต์แลกเปลี่ยนคริปโตของเหยื่อได้สำเร็จ และขโมยข้อมูลบัญชีผู้ใช้”
ที่มา : thehackernews
You must be logged in to post a comment.