近期安全研究人员披露,一种名为 Coyote 的银行木马开始利用 Windows 的无障碍框架 Microsoft UI Automation(简称 UIA)进行侦察,以便识别受害者在浏览器中访问的银行或交易所网站,为后续凭证窃取做准备。该手法标志着攻击者将系统本用于辅助功能的强大接口转向恶意用途,带来了新的检测与防护挑战。本文将详细解析 Coyote 的技术细节、为何 UIA 会被滥用、已有攻击样本的演进轨迹,以及企业和个人应如何应对和缓解风险。 Coyote 的演进与攻击目标 Coyote 最初在 2024 年 2 月被发现,作为一款针对巴西用户的银行木马,它通过键盘记录、钓鱼覆盖层以及传统的进程注入等手法窃取对若干银行和加密货币交易所的登录凭证。随着时间推移,开发者不断为其增加功能以提高成功率。到 2025 年早期,研究人员发现其新变种在传统窃取手段之外,加入了对 UIA 的滥用 - - 当无法通过窗口标题等常规方法识别目标站点时,木马会调用 UIA 遍历应用的界面元素,从浏览器标签页或地址栏中提取网页地址,用以与其内置的 75 个目标服务列表进行比对。
如果比对成功,Coyote 会在侦察阶段记录该页面为目标站点,进而为后续的凭证窃取或注入攻击寻找时机。研究人员同时展示了 UIA 如何被进一步扩展到捕获用户输入的概念性示例,证明 UIA 不仅能用于发现目标,也具备直接读取界面文本的潜能。 为什么 UIA 会被滥用 Microsoft UI Automation 是 Windows 为视障或其他残障用户设计的强大辅助技术接口,允许脚本或程序访问应用的界面元素树,读取控件属性,并与控件交互。出于可访问性考虑,UIA 被设计成功能强大且通用,使其能够跨应用工作。正因为这种通用与强大,攻击者发现它成为绕过某些终端检测与响应(EDR)产品的有效手段。与传统的键盘记录或进程注入相比,UIA 以 API 调用的方式访问界面内容,往往不会触发基于行为的检测逻辑,从而更隐蔽地执行侦察任务。
Akamai 在 2024 年 12 月首先警告了 UIA 潜在滥用的风险,而 2025 年的观测则证明了该风险已进入现实世界攻击。 被定位的目标与影响范围 Coyote 的目标名单包含约 75 个银行和加密货币交易平台,主要集中在巴西市场,但也涵盖全球知名的加密平台如 Binance 等。被识别的银行包括 Banco do Brasil、CaixaBank、Banco Bradesco、Santander、Original Bank、Sicredi、Banco do Nordeste 等。对于受影响个人来说,一旦木马识别出访问的站点属于其目标名单,攻击者便可通过现有的覆盖层、键盘记录或未来利用 UIA 直接读取输入的方式窃取凭证。对于企业和金融机构而言,Coyote 的出现提示需要针对 UIA 使用情况的监控与策略性限制,以避免内部用户设备成为攻击链的一环。 UIA 的滥用为何难以被察觉 UIA 行为常规上属于合法且必要的无障碍功能,因此简单地基于 API 调用特征进行拦截可能会影响真正需要无障碍服务的用户。
很多安全产品在检测恶意行为时侧重于可疑的内存注入、网络通信或文件系统改动,而 UIA 的操作则显得更为"干净":通过标准化的系统接口读取文本或属性,往往不会留下易于检测的痕迹。此外,攻击者可以将 UIA 调用限制在短时间窗口内、仅在用户主动访问特定站点时触发,从而降低被发现的概率。 检测与响应的关键点 尽管 UIA 滥用具有隐蔽性,但并非无迹可寻。有效的检测策略应综合审计 UIA API 的使用、监控进程对可访问性相关 DLL 的加载、以及结合进程行为与网络活动进行关联分析。企业可以在终端上启用更细粒度的日志记录,捕获对 UIAutomationCore.dll 等组件的不寻常调用模式,并将这些事件上报集中式 SIEM 或 EDR 进行进一步分析。另一个重要方向是行为基线建模:通过了解正常工作负载或辅助工具的 UIA 调用频率与模式,安全运维团队可以识别出偏离常态的进程行为,从而触发调查。
用户层面与组织层面的防护建议 对于普通用户,最直接且有效的防护仍然是提升基本良好安全习惯:开启多因素认证以防止仅凭密码登录、使用密码管理器避免重复使用密码、保持操作系统与浏览器的及时更新、并警惕来源不明的软件和附件。对于更有安全需求的用户,考虑在浏览器中启用扩展或设置以限制地址栏或标签页内容被第三方程序读取的可能性。 组织应采取多层次防护,包括但不限于以下措施:限制常规用户账户的权限,避免非受信任程序在终端上以管理员权限运行;对无障碍API的访问进行策略化管理,评估是否允许未经过验证的进程调用 UIA;强化终端检测与响应能力,将 UIA 相关活动纳入监控范围并建立告警规则;对关键业务系统增加额外的认证与风险评估步骤,避免仅凭单一凭证即可进行敏感操作;开展针对员工的定期安全培训,提醒其识别社工攻击与可疑软件安装。 技术缓解方向与厂商角色 由于 UIA 是操作系统级别的功能,微软作为平台提供者在平衡可访问性与安全性方面面临挑战。一方面应保护残障用户的使用体验,另一方面也需尽可能降低滥用风险。微软与安全厂商可以探索的策略包括提供对 UIA 调用的更细粒度权限控制,允许管理员定义哪些签名良好的应用可以访问 UIA;引入对可疑 UIA 调用的内建审计与可选阻断策略;在系统层面为 UIA 调用添加更明显的可疑行为标志,以便 EDR 能够更容易识别异常模式。
安全厂商应更新检测规则,将 UIA 的合法用途与恶意模式区分开来,结合进程可信度、调用时机以及同一时间内的其他可疑行为创建高置信度警报。 法律与伦理考量 无障碍功能的滥用也带来了法律与伦理层面的讨论:对无障碍 API 实施过度限制可能构成对残障用户的歧视或削弱其使用计算资源的权利。因此在制定策略时应避免"一刀切"的限制,而是采用以风险为导向的差异化措施,确保辅助工具与残障用户不会因此受损。监管机构与行业组织可以推动最佳实践的形成,促进平台厂商与软件开发者在设计时将安全与可访问性同时考虑。 行业案例与未来趋势 Coyote 的案例并非孤立,移动平台上长期存在的无障碍接口滥用问题在 Android 上尤为严重,许多恶意软件通过 Accessibility Service 实现远程控制、自动化点击与窃取凭证。移动生态的应对措施包括对无障碍权限的更严格审查、在应用商店内强化审核以及对滥用功能的自动化检测。
桌面生态正在走向类似的关注点,UIA 的滥用促使研究界与企业安全团队更重视"可访问性即攻击面"的概念。 结语 Coyote 滥用 Windows UIA 进行数据侦察的现实世界案例提醒我们,一个为弱势用户设计的强大功能,在缺乏策略化管理与监控的环境下,可能成为攻击者的新工具。个人用户应保持良好安全习惯并启用多重保护,企业应将 UIA 相关活动纳入安全监控范围、制定可行的访问控制策略,同时与供应商合作推动更细粒度的权限模型与审计能力。长期来看,只有在安全与可访问性之间建立起公平且透明的平衡,才能既守护用户权益,又降低因辅助技术带来的安全风险。 。
