コヨーテマルウェアの亜種
Windowsを標的とするバンキング型トロイの木馬「Coyote」は、Windowsのアクセシビリティ・フレームワークであるUIオートメーション(UIA)を悪用し、機密性の高いユーザーデータを窃取する最初のマルウェアとして確認されました。2024年にサイバーセキュリティ研究者によって初めて発見されたCoyoteは、主にブラジルのユーザーを標的としており、UIAを活用して幅広い銀行や暗号通貨プラットフォームに関連する認証情報を収集する新たな手法を組み込むまでに進化しています。
目次
正当なツールが悪意のあるものに
UIAはMicrosoft .NET Frameworkの一部であり、元々はスクリーンリーダーなどの支援技術がデスクトップアプリケーションのユーザーインターフェイス要素と対話できるようにするために設計されました。しかし、その機能は諸刃の剣であることが判明しました。2024年12月、セキュリティ専門家は、UIAがデータ窃盗や不正なコード実行に悪用される可能性があることを示す概念実証を発表しました。
今、Coyoteは理論を実践に移しました。アクセシビリティサービスを悪用して機密情報を取得するAndroidバンキング型トロイの木馬と同様に、CoyoteはUIAを操作してアプリケーション要素を操作し、重要な認証情報を抽出します。
コヨーテがデータを探す方法
このトロイの木馬は、Windows APIのGetForegroundWindow()を使用して現在アクティブなウィンドウを特定することからデータ収集プロセスを開始します。次に、そのウィンドウのタイトルを、標的の銀行および暗号通貨取引所75社のウェブアドレスを含むハードコードされたリストと比較します。このリストの数は、2025年初頭の73社から増加しています。
ウィンドウタイトルがリストのどのエントリとも一致しない場合、Coyoteは戦術を切り替えます。UIAを使用してアクティブウィンドウのインターフェースの子要素を解析し、ブラウザのタブやアドレスバーを探します。これらのUI要素の内容は、同じターゲットリストと再度照合されます。
機能拡張とステルス機能
Coyote には、次のような追加の監視機能が搭載されています。
- 入力された資格情報を傍受するためのキーストロークのログ記録
- ユーザーのアクティビティを視覚的に記録するためのスクリーンショットキャプチャ
- 正規の銀行ログインページを模倣したオーバーレイ攻撃
さらに、このマルウェアはオンラインとオフラインの両方のモードで効果的に機能し、接続の有無にかかわらず認証情報収集メカニズムが動作し続けることを保証します。この柔軟性により、マルウェアの持続性が高まり、攻撃対象領域が拡大します。
UIAがマルウェア開発者にとって画期的な理由
通常、別のアプリケーション内のサブ要素へのアクセスは複雑で、対象となるソフトウェアの構造を深く理解する必要があります。CoyoteはUIAを悪用することでこの障壁を回避し、最小限の労力でアプリケーションの内部UIコンポーネントを詳細に可視化します。この機能により、認証情報の窃取成功率は大幅に高まります。
金融データへの脅威の増大
CoyoteのようなマルウェアによるUIオートメーションの採用は、正規のシステム機能が武器化される方法における憂慮すべき進化を示しています。既に75の金融機関が標的となっており、攻撃手法も着実に進化しているCoyoteは、アクセシビリティフレームワークの悪用に対する監視と防御メカニズムの強化が緊急に必要であることを浮き彫りにしています。
