Kiberbiztonsági szakértők új, komoly fenyegetésre hívják fel a figyelmet: a Coyote nevű banki trójai legújabb változata már a Microsoft egyik fejlesztését, az úgynevezett UI Automation (UIA) rendszert is visszaélésszerűen használja arra, hogy banki és kriptotárca-adatokat lopjon el. Az Akamai Technologies kutatói szerint a támadás technikai kifinomultsága aggasztó, mivel a kártevő most már nemcsak a megszokott módszerekkel, hanem mélyebb rendszer-hozzáférést kihasználva is képes adatokat szerezni a felhasználóktól.
A Coyote egy viszonylag új, de gyorsan terjedő banki trójai program, amely 2024 februárjában bukkant fel először, elsősorban Latin-Amerikában. A nevét arról a „Squirrel” nevű telepítőprogramról kapta, amelyet a fertőzés terjesztésére használnak – a névválasztás így utal a ragadozó és zsákmány viszonyára. A Coyote célja, hogy a felhasználók banki és kriptovaluta-adatait megszerezze, ehhez pedig többféle módszert is bevet:
Billentyűleütések rögzítése: figyeli, milyen adatokat gépel be a felhasználó, például bejelentkezési jelszavakat vagy PIN-kódokat.
Megtévesztő felületek megjelenítése: hamisított banki vagy kriptós bejelentkező oldalakat jelenít meg, hogy rávegye az áldozatot az adatok megadására.
UI Automation rendszer kihasználása: a Microsoft által fejlesztett technológia eredetileg akadálymentesítési célokat szolgál, de a Coyote ezt visszaélésszerűen használja, hogy hozzáférjen más alkalmazások adatmezőihez – például banki hitelesítési felületekhez.
Ez a kombinált támadási módszer különösen veszélyessé teszi a Coyote-t, mivel képes elkerülni a hagyományos vírusvédelmi megoldásokat, és a háttérben észrevétlenül működik.
Kapcsolódó tartalom: Már megint kiszivárgott az adatod? Van megoldás!
A Microsoft UI Automation (UIA) eredetileg nemes céllal született: az akadálymentesítés eszközeként szolgál, lehetővé téve a képernyőolvasók és más segédeszközök számára, hogy felismerjék és értelmezzék az alkalmazások felhasználói felületének elemeit. A technológia tehát a hozzáférhetőséget szolgálja – ám a Coyote kártevő ezt most egészen más célra használja fel.
A trójai fejlesztői ugyanis a UIA segítségével megkerülik a hagyományos vírusirtókat és védelmi rendszereket, és közvetlenül hozzáférnek az olyan alkalmazásokhoz, amelyek jelszavakat, banki adatokat vagy kriptotárcákhoz tartozó hitelesítési információkat tartalmaznak.
Különösen aggasztó, hogy a jelenlegi kampány célpontjai brazil felhasználók, akiktől a Coyote több mint 75 különböző bankhoz és kriptotőzsdéhez tartozó bejelentkezési adatokat próbál megszerezni. Ráadásul a malware képes arra is, hogy internetkapcsolat nélkül működjön, így offline módban is megkísérli az adatok begyűjtését. Ez a fajta működés lényegesen növeli a támadás sikerességét, hiszen a felhasználó még csak nem is sejti, hogy veszélyben van.
A Coyote megjelenése jól mutatja, hogy a kiberfenyegetések egyre kifinomultabbak, és messze túlmutatnak a hagyományos adathalász e-maileken vagy hamis weboldalakon. Ma már olyan rendszerszintű technológiákat is kihasználnak, amelyek eredetileg biztonságosnak és hasznosnak készültek. A felhasználók számára ezért kulcsfontosságú a tudatosság és a megelőzés. Íme néhány gyakorlati lépés, amivel csökkenthető a fertőzés kockázata:
Frissítsük rendszeresen a vírusirtót és a biztonsági szoftvereket – csak naprakészen tudják felismerni az új fenyegetéseket.
Használjunk kétlépcsős hitelesítést minden banki vagy kriptós fióknál – ez extra védelmi réteget jelent, még akkor is, ha a jelszó kiszivárog.
Ne telepítsünk ismeretlen vagy gyanús programokat, különösen, ha azok adminisztrátori jogosultságot kérnek vagy hozzáférést szeretnének rendszerfolyamatokhoz.
Figyeljünk a programok hozzáférési jogosultságaira – ha egy alkalmazás UI-vezérléshez, képernyőelemek olvasásához vagy más, szokatlan engedélyhez kér hozzáférést, az gyanúra adhat okot.
A biztonság ma már nem csak a cégek dolga – minden felhasználónak érdemes alapvető kiberhigiéniai szokásokat kialakítania, hogy elkerülje az ilyen célzott és technológiailag kifinomult támadásokat.
Megjelent a BitcoinBázis oldalon.
