首页
学习
活动
专区
圈层
工具
发布

首例利用微软UI自动化框架的银行木马:Coyote变种攻击手法解析

网络安全公司Akamai发现,新版Coyote银行木马不仅更新了攻击目标,更采用了前所未有的技术手段。研究人员确认,该变种成为首个主动利用微软UI自动化(UIA,User Interface Automation)框架窃取银行凭证的恶意软件,将数月前仅存在于理论中的攻击风险转化为现实威胁。

从概念验证到实际攻击

2024年12月,Akamai曾预警微软UIA框架可能遭黑客滥用。该技术本用于辅助工具与软件交互,但直到近期针对巴西用户的攻击中,研究人员才首次观测到Coyote木马实际运用UIA窃取银行及加密货币平台的浏览器敏感信息。

这款2024年2月首次现身的木马,原本以针对拉美金融机构的网络钓鱼覆盖和键盘记录著称。最新变种通过UIA框架绕过了端点检测与响应(EDR)等安全工具的监控,标志着其攻击方式的重要演变。

突破性攻击技术剖析

与传统API检测方式不同,新版木马通过UIA实现智能攻击:

当活动窗口标题与预设的75家金融机构/交易所地址不匹配时,立即启动UIA COM对象

逐层扫描活动窗口子元素,识别金融活动特征痕迹

根据内部分类体系动态调整凭证填充策略,提升攻击精准度

UIA框架使攻击者无需掌握特定应用程序设计细节,即可扫描其他软件的UI界面,从地址栏、输入框等字段提取内容,进而定制攻击或窃取登录数据。

隐蔽性增强与防御建议

该木马还具备以下特征:

回传计算机名、用户名及浏览器数据至C2服务器

离线状态下仍可执行本地检测

演示案例显示可篡改浏览器地址栏,诱导用户跳转钓鱼网站

防御措施包括:

监控陌生进程加载UIAutomationCore.dll行为

使用osquery命令标记与UIA相关命名管道交互的进程

部署Akamai威胁狩猎服务检测异常UIA活动

Akamai概念验证演示(点击播放GIF)

研究人员警告,UIA框架可能开辟新的攻击路径,攻击者不仅能窃取数据,还可操纵UI元素实施更隐蔽的攻击。目前Akamai已在其威胁监测服务中加入相关异常行为检测功能。

  • 发表于:
  • 原文链接https://page.om.qq.com/page/OcyiPhSOIIZ1In9_pWkd4z1g0
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

领券