随着数字金融的飞速发展,网络攻击手段也日趋复杂。近期,安全研究人员发现了一种新型的银行木马——Coyote恶意软件最新变种,它创新性地利用了Windows操作系统中的UI自动化框架,成功实施针对银行账户和加密货币交易平台的攻击,尤其聚焦于巴西市场。Coyote这款恶意软件首次出现在2024年,最初由安全厂商卡巴斯基披露。相比传统银行木马,它不仅能够记录用户键盘输入和截屏,还能在目标网站的登录界面上覆盖虚假窗口,诱导用户输入敏感信息。它的目标锁定了高达75家巴西银行和加密货币交易平台,显示出极强的针对性和精密的攻击设计。Coyote此次攻击的最大创新点在于对Windows UI自动化(UI Automation,简称UIA)功能的滥用。
UIA是微软为辅助技术开发的接口,广泛支持屏幕阅读器等应用,帮助弱势群体更方便地访问计算机界面中的各种元素。该接口允许程序以编程方式访问和交互桌面应用中的UI元素。虽然这为无障碍服务带来了便利,但它同样为恶意软件提供了一条潜在的窃取信息路径。通过调用Windows API GetForegroundWindow(),Coyote能够准确获取当前活动窗口的标题,并将其与内部存储的银行与加密平台地址列表进行匹配。一旦发现匹配,恶意软件便使用UIA解析该窗口下的所有子界面元素,诸如浏览器标签页和地址栏内容。通过交叉比对,Coyote能确认用户正在访问的具体金融网站,从而采取相应的窃取策略。
利用UIA读取另一个程序内部界面元素常被认为技术难度高,开发者须对目标软件结构具备深入理解。Coyote通过UIA成功突破了这一障碍,显著提升了攻击效率和隐蔽性。先前,Akamai公司在2024年底曾发布过一种基于UIA的概念验证攻击手法,确定这一辅助功能存在被滥用的风险。而Coyote则是首个真实落地的恶意软件案例,证明这种风险已从理论走向现实。Coyote的攻击手法与Android平台上的银行木马相似,它们同样滥用系统辅助功能来收集用户敏感数据,如账户密码和交易信息。通过持续监控运行环境,恶意软件还能在离线状态下执行检查,提高受害者平台被精确识别及成功攻击的概率。
从防御角度来看,Coyote的活动揭示了Windows辅助技术安全的薄弱环节。企业及用户应提高警惕,及时更新系统安全补丁,特别是关注UIA相关的权限管理。同时安装具备行为监测功能的杀毒软件,有助于识别并阻断此类恶意操作。对于金融机构,增加多因素认证,限制单点凭证盗取风险,仍然是保障账户安全的有效手段。此外,用户应避免非官方渠道下载应用程序,谨慎点击来源不明的链接或邮件,降低感染风险。安全社区建议微软和其他软件开发商强化UI自动化框架的权限控制和监控机制,防止未来更多的恶意攻击利用该入口进行数据窃取。
总体来看,Coyote恶意软件的演进显示了网络犯罪分子如何利用操作系统的合法功能完成复杂的攻击。这提醒我们,防御网络威胁不仅依赖于外部工具,更需要操作系统本身在设计时增强安全性,防止被滥用。随着技术不断更新,安全行业和用户都需保持高度敏感和警觉,持续提升防御策略,才能有效应对此类新兴威胁。
