サイバーセキュリティ専門家は、Coyoteマルウェアの新しいバリアントについて警告を発しました。これは、ユーザーの金融情報を、特に銀行のログイン情報や電子マネーウォレット情報を収集するために、Windowsの合法的な機能を密かに悪用しています。
システムコアからの攻撃
サイバーセキュリティ会社Akamaiのレポートによると、Coyoteの新しいバリアントは、マイクロソフトのユーザーインターフェース自動化(UI Automation – UIA)プラットフォームを使用してユーザー行動を監視しています。
障害者をサポートしたり、オペレーティングシステムのナビゲーションを容易にしたりするために設計されたUIAは、Coyoteによって銀行や暗号通貨取引所などの金融ウェブサイトとの相互作用を検出するために利用されています。
Squirrel(Windowsアプリケーションで一般的なツール)を介してインストールされた後、Coyoteは、コンピューター名、ユーザー名、システム属性、および被害者が使用している金融サービスなどの情報を記録します。このデータは、攻撃者のリモートコントロールサーバーに送信されます。
行動を起こす前の「偵察」段階
悪意のあるソフトウェアは、実行中のウィンドウを特定するためにGetForegroundWindow()という名前のWindows APIを使用し、その後、暗号化されたターゲットリストと比較します。
ウィンドウのタイトルにターゲットが見つからない場合、UI Automationを利用してユーザーがアクセスしているウェブアドレスを取得します。これは、ユーザーが銀行またはデジタルウォレットにログインするときに正確に特定できる洗練されたステップです。
現在、この行為はまだ「偵察」段階にありますが、研究者たちはUIA機能が直接ログイン情報を盗むために悪用される可能性があることを証明しました。
世界に広がるリスク
Akamaiによると、マルウェアCoyoteはブラジルのユーザーに焦点を当てています。これは、ハッカーがアジアやヨーロッパを含む他の市場に拡大する前に、その有効性をテストすることを目的とした一般的な戦略です。
少し前に、専門家はAIを使用して有害なZIPファイルを拡散する最初のマルウェアである「LameHug」も発見しました。これは、サイバー脅威がますます巧妙かつ創造的になっていることを示しており、ユーザーと組織は警戒心を高める必要があります。
推奨事項
Windowsユーザーは、非特定ソースからアプリケーションをインストールする際に注意し、定期的にアップデートされるウイルス対策ソフトウェアを使用する必要があります。金融機関は、オンラインプラットフォーム上の異常なユーザー行動の監視を強化することも推奨されています。
