MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Её придумали для удобства, а она дала полный доступ киберпреступникам.
Новая модификация банковского трояна начала использовать необычный способ слежки за пользователями Windows — злоумышленники научились применять систему Microsoft UI Automation (UIA), предназначенную для людей с ограниченными возможностями, чтобы отслеживать посещение сайтов банков и криптобирж. Это даёт вредоносному ПО возможность собирать конфиденциальные данные, включая логины и пароли, при этом обходя современные средства защиты.
Платформа UIA разрабатывалась для взаимодействия вспомогательных технологий — например, экранных читалок — с элементами пользовательского интерфейса Windows. Приложения, совместимые с UIA, выстраивают так называемое дерево автоматизации, в котором каждый элемент (кнопка, окно, вкладка) может быть обнаружен, проанализирован и даже управляем извне через специальный API. Благодаря такой архитектуре стало возможным создание удобных решений для людей с инвалидностью. Однако именно эта универсальность и мощность привлекли внимание киберпреступников.
Впервые о риске подобной атаки специалисты Akamai ещё в декабре 2024 года. Тогда они предположили, что UIA можно использовать для обхода защитных систем класса (Endpoint Detection and Response), поскольку фреймворк считается «безопасным» и не вызывает подозрений у . Но теперь, начиная с февраля 2025 года, они зафиксировали реальное применение этой уязвимости в действующих атаках. Это первый в истории случай, когда троян начинает использовать возможности UIA для кражи информации с компьютера жертвы.
Сам троян Coyote изначально появился в феврале 2024 года и с тех пор активно развивался. Он нацелен преимущественно на пользователей из Бразилии и умеет красть учётные данные от 75 банков и криптовалютных платформ. Ранее в его арсенале были классические методы: кейлоггинг, поддельные окна входа, перехват кликов. Но теперь, с появлением поддержки UIA, троян стал гораздо изощрённее и опаснее.
Когда пользователь открывает браузер и переходит на сайт банка или биржи, Coyote сначала пытается определить его по названию окна. Если не находит совпадения, он подключается к дереву UIA, вытягивает адреса из вкладок и адресной строки, и сравнивает их с жёстко заданным списком из 75 целевых сервисов. Среди них — Banco do Brasil, CaixaBank, Santander, Bradesco, а также криптосервисы Binance, Electrum, Bitcoin и Foxbit. Если адрес совпадает, активируется модуль .
Особенность атаки в том, что она пока ограничивается стадией разведки — то есть троян лишь наблюдает за пользовательским интерфейсом и проверяет, открыта ли нужная цель. Однако специалисты Akamai продемонстрировали, что с помощью того же механизма можно считывать вводимые данные, включая логины и пароли. Они опубликовали технический пример, показывающий, как UIA можно использовать для захвата содержимого полей ввода — то есть полноценного воровства учётных записей.
На момент публикации представители Microsoft не прокомментировали возможные планы по введению дополнительных ограничений или мер защиты от подобных злоупотреблений. Между тем, ситуация напоминает давнюю проблему в экосистеме Android, где службы специальных возможностей систематически используются вредоносными приложениями. В ответ на это Google уже много лет вводит защитные механизмы, ужесточая требования к приложениям, получающим доступ к интерфейсу Accessibility.
Фреймворки вроде UIA создаются с благими целями — помочь людям с особыми потребностями пользоваться компьютерами наравне с остальными. Но по мере того как злоумышленники осваивают всё более нестандартные векторы атак, эти мощные системные механизмы всё чаще становятся инструментом для киберпреступлений.
Новая модификация банковского трояна начала использовать необычный способ слежки за пользователями Windows — злоумышленники научились применять систему Microsoft UI Automation (UIA), предназначенную для людей с ограниченными возможностями, чтобы отслеживать посещение сайтов банков и криптобирж. Это даёт вредоносному ПО возможность собирать конфиденциальные данные, включая логины и пароли, при этом обходя современные средства защиты.
Платформа UIA разрабатывалась для взаимодействия вспомогательных технологий — например, экранных читалок — с элементами пользовательского интерфейса Windows. Приложения, совместимые с UIA, выстраивают так называемое дерево автоматизации, в котором каждый элемент (кнопка, окно, вкладка) может быть обнаружен, проанализирован и даже управляем извне через специальный API. Благодаря такой архитектуре стало возможным создание удобных решений для людей с инвалидностью. Однако именно эта универсальность и мощность привлекли внимание киберпреступников.
Впервые о риске подобной атаки специалисты Akamai ещё в декабре 2024 года. Тогда они предположили, что UIA можно использовать для обхода защитных систем класса (Endpoint Detection and Response), поскольку фреймворк считается «безопасным» и не вызывает подозрений у . Но теперь, начиная с февраля 2025 года, они зафиксировали реальное применение этой уязвимости в действующих атаках. Это первый в истории случай, когда троян начинает использовать возможности UIA для кражи информации с компьютера жертвы.
Сам троян Coyote изначально появился в феврале 2024 года и с тех пор активно развивался. Он нацелен преимущественно на пользователей из Бразилии и умеет красть учётные данные от 75 банков и криптовалютных платформ. Ранее в его арсенале были классические методы: кейлоггинг, поддельные окна входа, перехват кликов. Но теперь, с появлением поддержки UIA, троян стал гораздо изощрённее и опаснее.
Когда пользователь открывает браузер и переходит на сайт банка или биржи, Coyote сначала пытается определить его по названию окна. Если не находит совпадения, он подключается к дереву UIA, вытягивает адреса из вкладок и адресной строки, и сравнивает их с жёстко заданным списком из 75 целевых сервисов. Среди них — Banco do Brasil, CaixaBank, Santander, Bradesco, а также криптосервисы Binance, Electrum, Bitcoin и Foxbit. Если адрес совпадает, активируется модуль .
Особенность атаки в том, что она пока ограничивается стадией разведки — то есть троян лишь наблюдает за пользовательским интерфейсом и проверяет, открыта ли нужная цель. Однако специалисты Akamai продемонстрировали, что с помощью того же механизма можно считывать вводимые данные, включая логины и пароли. Они опубликовали технический пример, показывающий, как UIA можно использовать для захвата содержимого полей ввода — то есть полноценного воровства учётных записей.
На момент публикации представители Microsoft не прокомментировали возможные планы по введению дополнительных ограничений или мер защиты от подобных злоупотреблений. Между тем, ситуация напоминает давнюю проблему в экосистеме Android, где службы специальных возможностей систематически используются вредоносными приложениями. В ответ на это Google уже много лет вводит защитные механизмы, ужесточая требования к приложениям, получающим доступ к интерфейсу Accessibility.
Фреймворки вроде UIA создаются с благими целями — помочь людям с особыми потребностями пользоваться компьютерами наравне с остальными. Но по мере того как злоумышленники осваивают всё более нестандартные векторы атак, эти мощные системные механизмы всё чаще становятся инструментом для киберпреступлений.
