近期,研究人员发现一种名为Coyote的新型银行木马通过Windows辅助功能——微软的UI Automation(UIA)框架,瞄准用户的银行及加密货币账户信息进行窃取。报告显示,Coyote最初通过键盘记录和钓鱼界面等传统手段窃取数据,如今更进一步,利用UIA识别用户在浏览器中访问的银行与加密平台网站,从而伺机获取凭证信息。
据安全公司Akamai介绍,Coyote主要针对巴西地区的75家银行及加密货币交易平台,包括Banco do Brasil、CaixaBank、Santander及Binance等。当无法通过窗口标题锁定目标时,Coyote会利用UIA框架,直接解析浏览器标签页和地址栏中的内容,对照其内置的目标名单。如果发现有疑似敏感信息,便进行下一步的数据窃取操作。
值得注意的是,Akamai早在2024年曾提醒该类技术有可能绕开终端检测与响应(EDR)系统,如今已被Coyote实际应用。虽然目前主要用于侦查阶段,但安全专家警告,该框架同样可以被滥用于直接窃取用户在这些金融网站上输入的账户凭证。