新しいバンキングトロイの木馬「Coyote」の亜種が、Windowsのアクセシビリティ機能であるMicrosoftのUI Automationフレームワークを悪用しています。このトロイの木馬は、デバイス上でアクセスされる銀行や暗号通貨交換サイトを特定し、認証情報の盗難を試みています。UIAはアプリケーションのユーザーインターフェイス要素と対話するためのフレームワークで、トロイの木馬はこの機能を利用してターゲットを識別します。
Akamaiの研究者は、2024年12月にUIAが不正使用される可能性について警告を発していましたが、2025年2月には実際の攻撃が確認され、Coyoteによるデータ窃取の初の実例が報告されています。Coyoteはブラジルのユーザーを主なターゲットとし、75種類の銀行や暗号通貨取引所アプリケーションを狙っています。
使用される手法には、キー入力の記録やフィッシングオーバーレイが含まれ、ブラウザ内のUI要素からウェブアドレスを抽出して比較を行っています。これにより、アクセス中のサイトがリストに含まれているかどうかを確認します。一部の対象として、Banco do BrasilやBinanceなどが特定されています。
悪用は主に情報収集の段階で止まっていますが、AkamaiはUIAを使用して入力された認証情報を盗む手法のデモを示しました。MicrosoftにはUIAの悪用を防ぐための対策が検討されているか確認しましたが、現時点でのコメントは得られていません。アクセシビリティシステムは強力な機能を持っていますが、その力は悪意のある使用を招く危険性もはらんでいます。
Read more
コメント