Coyote: Zlonamjerni softver iz sjenke

AUTOR ·

Zlonamjerni softver Coyote identifikovan je kao varijanta koja zlonamjerno koristi okvir Microsoft automatizacije korisničkog okruženja (eng. Microsoft user interface automation – Microsoft UIA), što je prvi potvrđeni slučaj u javnosti, pokazuje istraživanje kompanije Akamai. Ovaj iskorištavanje koristi mogućnosti automatizacije za izvlačenje akreditiva povezanih sa internet adresama 75 bankarskih institucija i berzama kriptovaluta, što predstavlja značajan rizik za korisnike.

Coyote

Coyote: Zlonamjerni softver iz sjenke; Source: Bing Image Creator

COYOTE ZLONAMJERNI SOFTVER

Coyote je dobro poznata porodica trojanskog zlonamjernog softvera otkrivena u februaru 2024. godine. Koristi razne zlonamjerne tehnike kako bi ugrozio bezbjednost krajnjih uređaja i ukrao osjetljive informacije od žrtava.

Konkretno, Coyote koristi praćenje korisničkog unosa (eng. keylogging) i lažne phishing slojeve (eng. phishing overlays) kako bi presreo i ukrao bankarske podatke za prijavu i druge povjerljive podatke. Njegov mehanizam širenja uključuje korištenje instalera Squirrel, što mu omogućava širenje i inficiranje novih sistema.

 

Microsoft automatizacije korisničkog okruženja

Automatizacija korisničkog okruženja (UIA), dio Microsoft .NET okvira, je legitimna funkcija koju nudi kompanija Microsoft kako bi čitačima ekrana i drugim proizvodima pomoćne tehnologije omogućila programski pristup elementima korisničkog okruženja na radnoj površini. Ova funkcionalnost omogućava korisnicima koji su slijepi ili slabovidi da se kreću i reaguju sa aplikacijama zasnovanim na Windows operativnom sistemu koristeći specijalizovani softver.

Automatizacija korisničkog okruženja (UIA) ovo postiže upotrebom okruženja modela komponentnih objekata (eng. Component Object Model – COM), koji pružaju standardizovan način za komunikaciju različitih komponenti unutar aplikacije. Korištenjem ovog okruženja modela komponentnih objekata (COM), automatizacija korisničkog okruženja (UIA) može programski pristupiti različitim aspektima radnog okruženja, uključujući naslove prozora, oznake dugmadi i vrijednosti tekstualnih polja. Ova mogućnost je neophodna za čitače ekrana i druge proizvode pomoćne tehnologije koji se oslanjaju na automatizaciju korisničkog okruženja (UIA) kako bi korisnicima pružili tačne informacije o aplikacijama sa kojima komuniciraju.

Iako je automatizacija korisničkog okruženja (UIA) dizajnirana imajući u vidu legitimne slučajeve upotrebe, ne treba zanemariti njegov potencijal za zloupotrebu. Kao što je pokazalo nedavno istraživanje kompanije Akamai, moguće je iskoristiti okruženja modela komponentnih objekata (COM) automatizacije korisničkog okruženja (UIA) za izdvajanje osjetljivih informacija o korisničkom okruženju radne površine (eng. desktop) bez znanja ili pristanka korisnika.

 

Lanac infekcije i ugrožavanje sistema

Nedavno otkriće je pokazalo da Coyote zlonamjerni softver koristi Microsoft automatizacije korisničkog okruženja (Microsoft UIA) kako bi izbjegao tradicionalne softvere za detekciju i odgovor na prijetnje (eng. endpoint detection and response – EDR).

Lanac infekcije koji pokreće Coyote zlonamjerni softver počinje korištenjem Squirrel instalera za širenje. Ova taktika odražava ponašanje lova na predatora po kome je dobio ime, gdje zlonamjerni softver sistematski cilja i kompromituje ranjive sisteme. Nakon uspješne infiltracije, Coyote evidentira sistemske detalje kao što su ime računara, korisničko ime i aktivni procesi, prenoseći ove informacije na komandno-kontrolni (C2) server. Ovo početno ugrožavanje postavlja temelje za dalju eksploataciju, omogućavajući zlonamjernom softveru da uspostavi uporište u kompromitovanom okruženju.

Prenos sistemskih detalja ima višestruku namjenu, uključujući izviđanje i potencijalne mogućnosti bočnog kretanja. Prikupljanjem obavještajnih podataka o konfiguraciji ugroženog sistema i aktivnim procesima, Coyote zlonamjerni softver može da usavrši svoju strategiju napada ili da identifikuje mogućnosti za dodatne zlonamjerne aktivnosti. Pored toga, zlonamjerni akteri mogu da koriste ove informacije za prilagođavanje naknadnih napada ili kreiranje ciljanih varijanti zlonamjernog softvera dizajniranih posebno za eksploataciju ranjivosti unutar određenih sistema.

Kritični aspekt zloupotrebe automatizacije korisničkog okruženja (UIA) od strane Coyote zlonamjernog softvera leži u korištenju okruženja modela komponentnih objekata (COM) za izbjegavanje tradicionalnih softvera za detekciju i odgovor na prijetnje (EDR) i mehanizama za detekciju. Korištenjem automatizacije korisničkog okruženja (UIA), zlonamjerni softver može da pregleda prozor u prvom planu putem, upoređujući naslove prozora sa unaprijed definisanom listom ciljanih finansijskih domena. Ovaj pristup omogućava Coyote zlonamjernom softveru da ostane prikriven, jer njegove aktivnosti nisu označene kao anomalne od strane softvera za detekciju i odgovor na prijetnje (EDR) zbog inherentnih povišenih dozvola za interakciju korisničkog okruženja koje dodjeljuje okvir automatizacije korisničkog okruženja (UIA).

Eksploatacija počinje početnom provjerom podudaranja unutar unaprijed definisanih kategorija, uključujući entitete u Brazilu kao što su Banco do Brasil, CaixaBank i kriptovalutne platforme poput Binance. Ako se ne pronađe podudaranje, Coyote zlonamjerni softver kreira objekat modela komponentnih objekata (COM) automatizacije korisničkog okruženja (UIA), učitavajući UIAutomationCore.dll u prostor procesa. Ovo omogućava postepeni obilazak podelemenata korisničkog okruženja, kao što su kartice internet pregledača i adresne trake u aplikacijama kao što su Chrome, Firefox ili Edge, kako bi se identifikovala potencijalna podudaranja sa unaprijed definisanim kategorijama.

 

UTICAJ

Pojava nove varijante zlonamjernog softvera Coyote ima značajan uticaj i na pojedince i na organizacije. Ova sajber prijetnja predstavlja značajan rizik po bezbjednost korisnika, što potencijalno može dovesti do neovlaštenog pristupa, ugrožavanja podataka i finansijskih gubitaka.

Kako se zlonamjerni softver širi, korisnici mogu iskusiti ugrožavanje sistema, prekide u uslugama i smanjeno povjerenje u internet platforme. Organizacije koje ne uspiju da se pozabave ovom prijetnjom vjerovatno će se suočiti sa štetom po reputaciju, regulatornom kontrolom i ekonomskim posljedicama.

Uticaj zlonamjernog softvera Coyote nije ograničen samo na pojedinačne žrtve, on takođe ima šire društvene implikacije. Sektor finansijskih usluga izgleda posebno podložan ovoj prijetnji, sa potencijalnim gubicima i poremećajima koji se očekuju u ovim oblastima. Posljedice zlonamjernog softvera Coyote mogu dalekosežne, utičući ne samo na korisnike već i na širu ekonomiju.

 

ZAKLJUČAK

Zlonamjerni softver Coyote privlači sve više pažnje stručnjaka za sajber bezbjednost zbog svoje sposobnosti da koristi automatizaciju korisničkog okruženja (UIA) radi izvlačenja pristupnih podataka. Ova tehnika omogućava softveru da oponaša ponašanje korisnika i na taj način zaobiđe tradicionalne zaštitne mehanizme, čime se ugrožavaju osjetljive informacije. Takav razvoj u taktikama napada ističe hitnu potrebu za unapređenjem bezbjednosnih protokola — naročito u okruženjima koja se oslanjaju na automatizaciju radi poboljšanja efikasnosti. Zbog toga je sveobuhvatan pristup zaštiti podataka, uključujući edukaciju korisnika i pravovremena sistemska ažuriranja, od ključnog značaja.

Dalja istraživanja pokazuju da Coyote posebno cilja korisnike u Brazilu, čime se otkrivaju specifične regionalne ranjivosti i slabosti u sajber zaštiti. Ova usmjerenost pokazuje da zlonamjerni akteri sve češće analiziraju lokalne karakteristike kako bi preciznije oblikovali metode napada. S obzirom na to da Coyote koristi automatizaciju korisničkog okruženja (UIA) za interakciju sa elementima korisničkog okruženja, postaje jasno da postojeći bezbjednosni okviri nisu dovoljno otporni na ovakve sofisticirane prijetnje. Zbog toga sajber odbrana mora da evoluira zajedno s prijetnjama — uz primjenu analize ponašanja, otkrivanje anomalija i automatizovane reakcije.

Dodatni izazov jeste usmjerenost Coyote softvera na internet adrese bankarskih institucija i platformi za trgovinu kriptovalutama. Ova strategija pokazuje da se zlonamjerni akteri više ne oslanjaju na nasumične napade, već ciljano biraju sektore visoke vrijednosti. Ovakav pristup zahtijeva dodatnu pažnju i stalnu analizu od strane bezbjednosnih stručnjaka, jer se napadi usmjeravaju na najosjetljivije finansijske sisteme. Samim tim, neophodno je prilagođavanje zaštitnih mehanizama, pravljenje rezervnih planova i kontinuirano praćenje prijetnji u stvarnom vremenu.

Zloupotreba automatizacije korisničkog okruženja (UIA) od strane Coyote zlonamjernog softvera potvrđuje da organizacije moraju dati prioritet redovnim bezbjednosnim ažuriranjima, rješavanju ranjivosti i uspostavljanju sveobuhvatnih planova odgovora na sajber prijetnje. Ignorisanje ovih koraka može dovesti do ozbiljnih posljedica, naročito kada se prijetnje oslanjaju na automatizaciju. Na kraju, Coyote je snažan podsjetnik da sajber prijetnje ne poznaju ni granice ni industrije. U globalno povezanom digitalnom prostoru, međunarodna saradnja, razmjena informacija i kolektivna otpornost postaju ključni faktori za uspješno suzbijanje sve kompleksnijih prijetnji. Bez zajedničkog djelovanja i koordinacije na globalnom nivou, borba protiv sofisticiranog zlonamjernog softvera ostaje izazov koji nadilazi kapacitete pojedinačnih organizacija.

 

ZAŠTITA

U nastavku slijedi nekoliko preporuka za zaštitu od zlonamjernog softvera Coyote:

  1. Softveri za detekciju i odgovor na prijetnje (EDR) treba da budu konfigurisani da prepoznaju prilagođene spretnije poput Coyote zlonamjernog softvera. Redovna ažuriranja su ključna jer zlonamjerni akteri razvijaju svoje taktike i tehnike. Timovi za sajber bezbjednost moraju biti na oprezu, pretpostavljajući da će zlonamjerni akteri kontinuirano ažurirati svoje metode kako bi izbjegli otkrivanje;
  2. Redovne bezbjednosne revizije i procjene rizika su neophodne za identifikaciju potencijalnih ulaznih tačaka koje bi zlonamjerni akteri mogli da iskoriste koristeći taktike slične onima koje koristi Coyote zlonamjerni softver. Ove revizije treba da uključuju temeljnu analizu sistemskih konfiguracija, mrežnog saobraćaja i ponašanja korisnika;
  3. Prakse bezbjedne konfiguracije za automatizaciju korisničkog okruženja (UIA) su ključne u sprečavanju zloupotrebe poput one koja se vidi kod Coyote zlonamjernog softvera. Ovo uključuje implementaciju strogih kontrola pristupa, praćenje aktivnosti automatizacije korisničkog okruženja (UIA) i sprovođenje principa najmanjih privilegija kako bi se ograničio uticaj potencijalnih eksploatacija;
  4. Treba koristiti tehnike analize ponašanja za otkrivanje anomalnog ponašanja koje može ukazivati na prisustvo zlonamjernog softvera poput Coyote zlonamjernog softvera. Ovo uključuje analizu sistemskih poziva, mrežnog saobraćaja i interakcija korisnika radi uočavanja znakova neobične aktivnosti;
  5. Edukacija korisnika o phishing rizicima i tehnikama manipulacije korisničkim okruženjem je ključna u sprečavanju napada društvenim inženjeringom poput onih koje potencijalno koristi Coyote zlonamjerni softver. Ovo uključuje pružanje obuke o identifikovanju sumnjive elektronske pošte ili poruka;
  6. Implementacija protokola bezbjedne autentifikacije, kao što je autentifikacija u više koraka (eng. multi-factor authentication – MFA), može pomoći u sprečavanju neovlaštenog pristupa osjetljivim sistemima ili podacima koji mogu biti ciljani zlonamjernim softverom poput Coyote zlonamjernog softvera;
  7. Redovna ažuriranja operativnih sistema i softvera su neophodna za otklanjanje ranjivosti koje koriste zlonamjerni akteri koristeći taktike slične onima koje koristi Coyote zlonamjerni softver. Ovo uključuje implementaciju najnovijih bezbjednosnih ispravki, servisnih paketa ili nadogradnji funkcija;
  8. Implementacija tehnika segmentacije mreže može pomoći u ograničavanju širenja zlonamjernog softvera poput Coyote u slučaju ugrožavanja. Segmentiranje mreža u izolovane zone sa strogom kontrolom pristupa i praćenjem može spriječiti bočno kretanje zlonamjernog aktera;
  9. Napredni alati za otkrivanje prijetnji trebalo bi da se koriste za otkrivanje novih prijetnji poput nove varijante Coyote zlonamjernog softvera. To uključuje sisteme zasnovane na mašinskom učenju, platforme za analizu u izolovanom okruženju (eng. sandbox) ili mehanizme za analizu ponašanja koji mogu da identifikuju anomalije koje ukazuju na aktivnost zlonamjernog softvera;
  10. Implementacija praksi bezbjednog skladištenja podataka je neophodna u sprečavanju neovlaštenog pristupa osjetljivim informacijama koje cilja zlonamjerni softver poput Coyote zlonamjernog softvera. Ovo uključuje korištenje protokola za šifrovanje, implementaciju strogih kontrola pristupa i sprovođenje principa najmanjih privilegija za pristup podacima;
  11. Sprovođenje redovnih obuka o bezbjednosti može pomoći u edukaciji korisnika o novim prijetnjama poput Coyote zlonamjernog softvera i važnosti bezbjednih praksi u sprečavanju napada društvenog inženjeringa ili tehnika manipulacije korisničkim okruženjem;
  12. Implementacija planova odgovora na sajber prijetnju je ključna u reagovanju na potencijalne propuste uzrokovane zlonamjernim softverom poput Coyote zlonamjernog softvera. Ovi planovi treba da uključuju procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se smanjio uticaj ugrožavanja.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.