Хакеры нашли в Windows лазейку, которую считали безопасной — теперь она открывает им доступ ко всему
NewsMakerЕё придумали для удобства, а она дала полный доступ киберпреступникам.
Новая модификация банковского трояна Coyote начала использовать необычный способ слежки за пользователями Windows — злоумышленники научились применять систему Microsoft UI Automation (UIA), предназначенную для людей с ограниченными возможностями, чтобы отслеживать посещение сайтов банков и криптобирж. Это даёт вредоносному ПО возможность собирать конфиденциальные данные, включая логины и пароли, при этом обходя современные средства защиты.
Платформа UIA разрабатывалась для взаимодействия вспомогательных технологий — например, экранных читалок — с элементами пользовательского интерфейса Windows. Приложения, совместимые с UIA, выстраивают так называемое дерево автоматизации, в котором каждый элемент (кнопка, окно, вкладка) может быть обнаружен, проанализирован и даже управляем извне через специальный API. Благодаря такой архитектуре стало возможным создание удобных решений для людей с инвалидностью. Однако именно эта универсальность и мощность привлекли внимание киберпреступников.
Впервые о риске подобной атаки специалисты Akamai предупреждали ещё в декабре 2024 года. Тогда они предположили, что UIA можно использовать для обхода защитных систем класса EDR (Endpoint Detection and Response), поскольку фреймворк считается «безопасным» и не вызывает подозрений у антивирусов . Но теперь, начиная с февраля 2025 года, они зафиксировали реальное применение этой уязвимости в действующих атаках. Это первый в истории случай, когда троян начинает использовать возможности UIA для кражи информации с компьютера жертвы.
Сам троян Coyote изначально появился в феврале 2024 года и с тех пор активно развивался. Он нацелен преимущественно на пользователей из Бразилии и умеет красть учётные данные от 75 банков и криптовалютных платформ. Ранее в его арсенале были классические методы: кейлоггинг, поддельные окна входа, перехват кликов. Но теперь, с появлением поддержки UIA, троян стал гораздо изощрённее и опаснее.
Когда пользователь открывает браузер и переходит на сайт банка или биржи, Coyote сначала пытается определить его по названию окна. Если не находит совпадения, он подключается к дереву UIA, вытягивает адреса из вкладок и адресной строки, и сравнивает их с жёстко заданным списком из 75 целевых сервисов. Среди них — Banco do Brasil, CaixaBank, Santander, Bradesco, а также криптосервисы Binance, Electrum, Bitcoin и Foxbit. Если адрес совпадает, активируется модуль шпионажа .
Особенность атаки в том, что она пока ограничивается стадией разведки — то есть троян лишь наблюдает за пользовательским интерфейсом и проверяет, открыта ли нужная цель. Однако специалисты Akamai продемонстрировали, что с помощью того же механизма можно считывать вводимые данные, включая логины и пароли. Они опубликовали технический пример, показывающий, как UIA можно использовать для захвата содержимого полей ввода — то есть полноценного воровства учётных записей.
На момент публикации представители Microsoft не прокомментировали возможные планы по введению дополнительных ограничений или мер защиты от подобных злоупотреблений. Между тем, ситуация напоминает давнюю проблему в экосистеме Android, где службы специальных возможностей систематически используются вредоносными приложениями. В ответ на это Google уже много лет вводит защитные механизмы, ужесточая требования к приложениям, получающим доступ к интерфейсу Accessibility.
Фреймворки вроде UIA создаются с благими целями — помочь людям с особыми потребностями пользоваться компьютерами наравне с остальными. Но по мере того как злоумышленники осваивают всё более нестандартные векторы атак, эти мощные системные механизмы всё чаще становятся инструментом для киберпреступлений.
Новая модификация банковского трояна Coyote начала использовать необычный способ слежки за пользователями Windows — злоумышленники научились применять систему Microsoft UI Automation (UIA), предназначенную для людей с ограниченными возможностями, чтобы отслеживать посещение сайтов банков и криптобирж. Это даёт вредоносному ПО возможность собирать конфиденциальные данные, включая логины и пароли, при этом обходя современные средства защиты.
Платформа UIA разрабатывалась для взаимодействия вспомогательных технологий — например, экранных читалок — с элементами пользовательского интерфейса Windows. Приложения, совместимые с UIA, выстраивают так называемое дерево автоматизации, в котором каждый элемент (кнопка, окно, вкладка) может быть обнаружен, проанализирован и даже управляем извне через специальный API. Благодаря такой архитектуре стало возможным создание удобных решений для людей с инвалидностью. Однако именно эта универсальность и мощность привлекли внимание киберпреступников.
Впервые о риске подобной атаки специалисты Akamai предупреждали ещё в декабре 2024 года. Тогда они предположили, что UIA можно использовать для обхода защитных систем класса EDR (Endpoint Detection and Response), поскольку фреймворк считается «безопасным» и не вызывает подозрений у антивирусов . Но теперь, начиная с февраля 2025 года, они зафиксировали реальное применение этой уязвимости в действующих атаках. Это первый в истории случай, когда троян начинает использовать возможности UIA для кражи информации с компьютера жертвы.
Сам троян Coyote изначально появился в феврале 2024 года и с тех пор активно развивался. Он нацелен преимущественно на пользователей из Бразилии и умеет красть учётные данные от 75 банков и криптовалютных платформ. Ранее в его арсенале были классические методы: кейлоггинг, поддельные окна входа, перехват кликов. Но теперь, с появлением поддержки UIA, троян стал гораздо изощрённее и опаснее.
Когда пользователь открывает браузер и переходит на сайт банка или биржи, Coyote сначала пытается определить его по названию окна. Если не находит совпадения, он подключается к дереву UIA, вытягивает адреса из вкладок и адресной строки, и сравнивает их с жёстко заданным списком из 75 целевых сервисов. Среди них — Banco do Brasil, CaixaBank, Santander, Bradesco, а также криптосервисы Binance, Electrum, Bitcoin и Foxbit. Если адрес совпадает, активируется модуль шпионажа .
Особенность атаки в том, что она пока ограничивается стадией разведки — то есть троян лишь наблюдает за пользовательским интерфейсом и проверяет, открыта ли нужная цель. Однако специалисты Akamai продемонстрировали, что с помощью того же механизма можно считывать вводимые данные, включая логины и пароли. Они опубликовали технический пример, показывающий, как UIA можно использовать для захвата содержимого полей ввода — то есть полноценного воровства учётных записей.
На момент публикации представители Microsoft не прокомментировали возможные планы по введению дополнительных ограничений или мер защиты от подобных злоупотреблений. Между тем, ситуация напоминает давнюю проблему в экосистеме Android, где службы специальных возможностей систематически используются вредоносными приложениями. В ответ на это Google уже много лет вводит защитные механизмы, ужесточая требования к приложениям, получающим доступ к интерфейсу Accessibility.
Фреймворки вроде UIA создаются с благими целями — помочь людям с особыми потребностями пользоваться компьютерами наравне с остальными. Но по мере того как злоумышленники осваивают всё более нестандартные векторы атак, эти мощные системные механизмы всё чаще становятся инструментом для киберпреступлений.