Coyote zararlı yazılımı, Windows erişilebilirlik altyapısını kullanarak banka ve kripto hesaplarını hedef alıyor
Yeni bir Coyote bankacılık truva atı varyantı, Windows’un erişilebilirlik özelliği olan UI Automation (UIA) sistemini kötüye kullanarak kullanıcıların hangi banka veya kripto para borsalarına eriştiğini tespit ediyor. Uzmanlara göre bu yöntem, geleneksel güvenlik yazılımlarını atlatma konusunda oldukça etkili.
Coyote isimli zararlı yazılımın yeni bir sürümü, Microsoft’un Windows işletim sisteminde sunduğu UI Automation (UIA) altyapısını kötüye kullanarak banka ve kripto para borsalarına erişen kullanıcıların kimlik bilgilerini hedef alıyor.
Microsoft UIA, erişilebilirlik ihtiyaçları için geliştirilmiş bir API sistemi olarak yazılımların arayüz bileşenlerine dışarıdan erişim sağlamaya yarıyor. Uygulamaların arayüz elemanlarını gezmek, özelliklerini okumak ve bu elemanlarla etkileşime geçmek için kullanılan sistem, siber saldırganların da ilgisini çekiyor.
Gerçek saldırılar Şubat 2025’te başladı
Akamai tarafından yapılan açıklamaya göre, söz konusu tekniğin kötüye kullanılabileceği uyarısı Aralık 2024’te yapılmıştı. Ancak Şubat 2025 itibarıyla bu yöntemin zararlı yazılımlar tarafından sahada kullanıldığı ilk kez gözlemlendi.
Coyote zararlısının gelişimi
İlk kez Şubat 2024’te belgelenen Coyote, ağırlıklı olarak Brezilya merkezli bankacılık uygulamalarını hedef alıyor. Zararlı yazılımın önceki sürümleri keylogger ve sahte giriş ekranı gibi yöntemlerle veri toplamaktaydı.
Yeni varyantta ise sabit hedefli uygulamalarda geleneksel yöntemler kullanılmaya devam ederken, web tarayıcısı üzerinden erişilen hizmetlerde UIA sistemi devreye giriyor.
Tarayıcı penceresi üzerinden adres tespiti
Coyote, kullanıcı bir bankacılık ya da kripto hizmetini tarayıcıda açtığında, pencere başlığı üzerinden tanımlama yapamazsa UIA aracılığıyla adres çubuğu veya sekme içeriğini okuyarak hedef siteyi tespit ediyor.
Elde edilen bilgiler, önceden tanımlanmış 75 hizmetlik bir liste ile karşılaştırılıyor. Bu listede Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Sicredi, Binance, Electrum ve Foxbit gibi finansal kurumlar yer alıyor.
Kimlik bilgisi hırsızlığına zemin hazırlanıyor
Şu anda yalnızca keşif aşamasında kullanılan bu yöntemle ilgili olarak, Akamai araştırmacıları UIA'nın kullanıcı tarafından girilen verileri (örneğin kullanıcı adı ve şifre) çalmak için nasıl kullanılabileceğini gösteren bir kavramsal kanıt (PoC) da yayımladı.
Microsoft henüz açıklama yapmadı
Microsoft’un UIA sistemi için herhangi bir güvenlik önlemi getirip getirmeyeceği belirsizliğini koruyor. Şirketle yapılan iletişim girişimlerine henüz yanıt alınamadı.
Uzmanlar, Android ekosisteminde de benzer şekilde Erişilebilirlik Hizmetlerinin uzun yıllardır zararlı yazılımlar tarafından istismar edildiğine dikkat çekiyor. Google, bu konuda çeşitli güvenlik önlemleri geliştirmişti.
Kaynak: CUMHA - CUMHUR HABER AJANSI
