Variante du logiciel malveillant Coyote
Le cheval de Troie bancaire Windows connu sous le nom de Coyote est la première souche de malware observée à exploiter le framework d'accessibilité Windows, UI Automation (UIA), pour voler des données utilisateur sensibles. Initialement révélé par des chercheurs en cybersécurité en 2024, Coyote cible principalement les utilisateurs brésiliens et a évolué pour intégrer une nouvelle technique exploitant UIA afin de collecter des identifiants liés à un large éventail de plateformes bancaires et de cryptomonnaies.
Table des matières
Des outils légitimes devenus malveillants
L'UIA fait partie de Microsoft .NET Framework et a été initialement conçu pour permettre aux technologies d'assistance, telles que les lecteurs d'écran, d'interagir avec les éléments de l'interface utilisateur des applications de bureau. Cependant, ses capacités se sont révélées être une arme à double tranchant. En décembre 2024, des experts en sécurité ont présenté une preuve de concept démontrant que l'UIA pouvait potentiellement être exploitée pour le vol de données et l'exécution de code non autorisée.
Coyote a désormais mis la théorie en pratique. À l'instar des chevaux de Troie bancaires Android qui exploitent les services d'accessibilité pour récupérer des informations sensibles, Coyote manipule l'interface utilisateur pour naviguer dans les éléments de l'application et extraire des identifiants précieux.
Comment Coyote chasse les données
Le cheval de Troie commence son processus de collecte de données en utilisant l'API Windows GetForegroundWindow() pour déterminer quelle fenêtre est actuellement active. Il compare ensuite le titre de cette fenêtre à une liste codée en dur contenant les adresses web de 75 banques et plateformes d'échange de cryptomonnaies ciblées, un nombre en augmentation par rapport aux 73 cibles recensées début 2025.
Si le titre de la fenêtre ne correspond à aucune entrée de la liste, Coyote change de stratégie. Il utilise l'UIA pour analyser les éléments enfants de l'interface de la fenêtre active, en essayant de localiser les onglets du navigateur ou les barres d'adresse. Le contenu de ces éléments d'interface est à nouveau vérifié par rapport à la même liste cible.
Capacités étendues et fonctionnalités furtives
Coyote est équipé de fonctions de surveillance supplémentaires, notamment :
- Enregistrement des frappes pour intercepter les informations d'identification saisies
- Capture d'écran pour enregistrer visuellement l'activité de l'utilisateur
- Attaques par superposition qui imitent les pages de connexion bancaires légitimes
De plus, le logiciel malveillant fonctionne efficacement en ligne comme hors ligne, garantissant que ses mécanismes de collecte d'identifiants restent opérationnels quelle que soit la connectivité. Cette flexibilité améliore sa persistance et élargit sa surface d'attaque.
Pourquoi l’UIA est un outil révolutionnaire pour les développeurs de logiciels malveillants
Généralement, accéder aux sous-éléments d'une autre application est complexe et nécessite une compréhension approfondie de la structure du logiciel cible. En exploitant l'UIA, Coyote contourne cet obstacle et obtient une visibilité approfondie des composants internes de l'interface utilisateur des applications avec un minimum d'effort. Cette capacité augmente considérablement le taux de réussite du vol d'identifiants.
La menace croissante qui pèse sur les données financières
L'adoption de l'automatisation de l'interface utilisateur par des logiciels malveillants comme Coyote marque une évolution inquiétante dans la manière dont des fonctionnalités système légitimes sont instrumentalisées. Avec 75 institutions financières déjà dans sa ligne de mire et une méthodologie d'attaque en constante évolution, Coyote souligne l'urgence d'améliorer la surveillance et les mécanismes de défense contre les abus des cadres d'accessibilité.
