首例利用微软UI自动化框架的银行木马:Coyote变种攻击手法解析
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
网络安全公司Akamai发现新版Coyote银行木马首次利用微软UI自动化框架窃取银行凭证,提升了攻击精准度并绕过安全监控。研究人员警告UIA框架可能带来新的攻击路径,建议加强监控与检测。
🎯
关键要点
-
Akamai发现新版Coyote银行木马首次利用微软UI自动化框架窃取银行凭证。
-
该木马通过UIA框架绕过了端点检测与响应等安全工具的监控。
-
新版木马实现智能攻击,动态调整凭证填充策略以提升攻击精准度。
-
攻击者可扫描其他软件的UI界面,提取内容进行定制攻击。
-
木马具备回传计算机名、用户名及浏览器数据至C2服务器的能力。
-
防御措施包括监控陌生进程和部署异常UIA活动检测功能。
-
研究人员警告UIA框架可能开辟新的攻击路径,攻击者可操纵UI元素实施更隐蔽的攻击。
❓
延伸问答
Coyote银行木马是如何利用微软UI自动化框架的?
Coyote银行木马通过微软UI自动化框架扫描活动窗口,识别金融活动特征并动态调整凭证填充策略,从而窃取银行凭证。
新版Coyote银行木马的主要特征是什么?
新版Coyote银行木马具备回传计算机名、用户名及浏览器数据至C2服务器的能力,并能在离线状态下执行本地检测。
研究人员对UI自动化框架的安全隐患有何警告?
研究人员警告,UI自动化框架可能开辟新的攻击路径,攻击者可以操纵UI元素实施更隐蔽的攻击。
如何防御Coyote银行木马的攻击?
防御措施包括监控陌生进程、使用osquery命令标记与UIA相关的进程,以及部署异常UIA活动检测功能。
Coyote银行木马的攻击精准度是如何提升的?
攻击精准度通过动态调整凭证填充策略和扫描其他软件的UI界面来提升,确保针对特定金融机构的攻击更为有效。
Coyote银行木马的首次出现时间是什么时候?
Coyote银行木马首次出现在2024年2月。
➡️
