أصبح حصان طروادة المصرفي المعروف باسم Coyote أول برمجية خبيثة معروفة تستغل إطار إمكانية الوصول في نظام Windows، المسمى UI Automation (UIA)، لجمع معلومات حساسة من المستخدمين.
وقال الباحث الأمني في شركة Akamai، تومر بيلد، في تحليله: “المتغير الجديد من Coyote يستهدف المستخدمين في البرازيل، ويستخدم UIA لاستخراج بيانات الاعتماد المرتبطة بـ75 عنوان ويب تعود لمؤسسات مصرفية ومنصات تداول العملات الرقمية”.
وقد تم الكشف عن Coyote لأول مرة من قبل شركة Kaspersky في عام 2024، وهو معروف بتركيزه على المستخدمين البرازيليين، حيث يتضمن قدرات على تسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وعرض نوافذ مزيفة فوق صفحات تسجيل الدخول المرتبطة بالمؤسسات المالية.
استغلال إطار إمكانية الوصول في Windows
يُعد UIA جزءًا من إطار عمل Microsoft .NET، ويوفر وسيلة شرعية للبرمجيات المساعدة، مثل قارئات الشاشة، للوصول برمجيًا إلى عناصر واجهة المستخدم على سطح المكتب.
وقد تم سابقًا إثبات أن UIA يمكن أن يُستغل كقناة لسرقة البيانات، وذلك من خلال إثبات مفهوم (PoC) قدمته Akamai في ديسمبر 2024، حيث أشارت الشركة إلى إمكانية استخدامه لسرقة بيانات الاعتماد أو تنفيذ تعليمات برمجية ضارة.
نهج مشابه لهجمات Trojans على أندرويد
يتشابه هذا التكتيك الجديد جزئيًا مع العديد من البرمجيات الخبيثة المصرفية التي تستهدف نظام Android، والتي تستغل غالبًا خدمات إمكانية الوصول في النظام للحصول على بيانات حساسة من الضحايا.
وبحسب تحليل Akamai، تقوم البرمجية الخبيثة باستدعاء واجهة برمجة التطبيقات GetForegroundWindow() ضمن Windows لاستخراج عنوان النافذة النشطة ومقارنته بقائمة مُشفّرة مسبقًا من عناوين الويب التي تعود لبنوك ومنصات تداول العملات الرقمية مستهدفة.
وأوضح بيلد: “إذا لم يتم العثور على تطابق، تستخدم Coyote UIA لتحليل عناصر واجهة المستخدم الفرعية ضمن النافذة، في محاولة للتعرف على علامات تبويب المتصفح أو شريط العنوان. ثم تتم مقارنة محتوى هذه العناصر بنفس قائمة العناوين السابقة”.
قائمة متزايدة من الأهداف
تستهدف النسخة الأحدث من Coyote ما يصل إلى 75 مؤسسة مالية مختلفة، بزيادة عن 73 هدفًا تم توثيقها سابقًا من قبل Fortinet FortiGuard Labs في يناير من هذا العام.
وقالت Akamai: “من دون استخدام UIA، فإن تحليل العناصر الفرعية داخل تطبيق آخر يُعد مهمة معقدة. ولكي يتمكن المطور من قراءة محتويات هذه العناصر بشكل فعال، عليه أن يكون لديه فهم عميق لبنية التطبيق المستهدف”.
وأضافت: “يمكن لـCoyote إجراء عمليات تحقق سواء كان الجهاز متصلًا بالإنترنت أو يعمل في وضع غير متصل. وهذا يزيد من فرص تحديد البنك أو منصة العملات الرقمية الخاصة بالضحية وسرقة بيانات اعتماده”.
