Coyote Trojan成为第一个在实际攻击中滥用微软UI自动化的恶意软件，以隐秘手段瞄准银行和加密平台。

Coyote银行木马的新版本已被发现，其引人注目之处不仅在于其目标用户，更在于其攻击方式。Akamai的网络安全研究人员已确认，该变种是首个主动利用微软UI自动化(UIA)框架提取银行凭证的恶意软件。几个月前，这种方法还只是个概念风险。

早在2024年12月，Akamai就曾警告称，微软的UIA（用于帮助辅助技术与软件交互）可能被威胁行为者滥用。此前，这一担忧仍处于概念验证阶段。但当Akamai发现Coyote使用UIA针对巴西用户发起攻击，意图从与银行和加密货币平台绑定的浏览器窗口中窃取敏感信息时，情况发生了变化。

这表明，Coyote木马正在改变其运作方式，使其更难被检测和阻止。该恶意软件于2024年2月首次被发现，以针对拉丁美洲金融目标的网络钓鱼覆盖和键盘记录而闻名。但该变种的不同之处在于它使用UIA来绕过端点检测和响应软件等检测工具。

Coyote不再依赖传统的API来检查受害者正在访问哪个银行网站，而是使用UI自动化。当活动窗口标题与恶意软件预加载的任何银行或加密货币网站地址不匹配时，它会改变策略，使用UIA COM对象开始爬取活动窗口的子元素，寻找金融活动的蛛丝马迹。

Akamai的博客文章（于周二发布前分享）发现，Coyote的硬编码列表包含75家金融机构和加密货币交易所。更糟糕的是，这些不仅仅是名称或URL。该恶意软件将它们映射到内部类别，从而可以确定其优先级或自定义凭证填充尝试。这种方法不仅增加了击中目标的几率，还使其在跨浏览器和应用程序方面更加灵活。

通常，攻击者需要了解特定应用程序设计的详细知识。UIA简化了这一过程。借助此框架，恶意软件可以扫描其他应用程序的UI，从地址栏或输入框等字段中提取内容，并利用这些信息定制攻击或窃取登录数据。

Coyote木马病毒的攻击目标远不止银行。它还会将系统详细信息（包括计算机名称、用户名和浏览器数据）发送回其命令与控制基础设施。即使处于离线状态，它仍会在本地执行许多此类检查，这使得仅通过网络流量进行捕获变得更加困难。

据研究人员称，更大的担忧在于UIA如何开辟新的攻击路径。Akamai展示了攻击者不仅可能抓取数据，还可能操纵UI元素，以此证明了这一点。一项概念验证显示，该恶意软件会修改浏览器的地址栏，然后模拟点击，悄悄地将用户重定向到钓鱼网站，而所有这一切都在屏幕上看起来是合法的。

在防御方面，有一些方法可以发现此类滥用行为。Akamai建议监控加载到UIAutomationCore.dll不熟悉进程的情况。他们还提供osquery命令来标记与UIA相关的命名管道交互的进程。这些都是攻击者可能正在窥探用户界面的早期预警信号。

Akamai的威胁搜寻服务已开始扫描环境中是否存在此类异常。根据他们的报告，当检测到可疑的UIA活动时，客户会收到警报。