新型Coyote银行木马已成为首个在真实攻击中滥用微软UI自动化框架（UIA）的恶意软件，该木马主要针对巴西地区的75家银行及加密货币平台用户。通过UIA技术，Coyote木马能够深入解析应用程序的UI子元素，绕过安全检测，窃取用户登录凭证，甚至能够篡改浏览器地址栏诱导用户访问钓鱼网站。此变种相比早期版本，通过UIA技术有效规避了EDR工具的监控，攻击范围进一步扩大，并结合键盘记录、屏幕截图等多种手段，形成了复合攻击链，对金融安全构成了严峻挑战。

💰 **UIA框架滥用实现隐蔽窃密：** Coyote木马利用微软为辅助工具设计的合法UI自动化框架（UIA），能够解析其他应用程序的UI子元素，无需了解目标程序内部结构即可提取隐藏的登录凭证信息，从而实现更隐蔽的攻击，并且即使在无网络连接的情况下也能持续执行检测流程。

🎯 **精准定位与广泛覆盖：** 该木马能够通过比对活动窗口标题或深度扫描浏览器标签页及地址栏内容来识别目标，其攻击范围已扩展至75家金融机构和加密货币平台，主要针对巴西地区用户，显示出其精准的攻击定位和广泛的潜在影响。

🔄 **攻击手段升级与多重化：** 相较于早期版本，Coyote木马通过滥用UIA技术有效绕过了端点检测与响应（EDR）工具的监控。此外，它还能够操纵UI元素实施隐蔽攻击，如篡改浏览器地址栏或定向重定向，并结合键盘记录、屏幕截图及覆盖虚假界面等传统手法，形成一套复合攻击链。

🛡️ **应对策略与风险预警：** 针对此类威胁，建议通过监控异常进程加载UIAutomationCore.dll的行为、追踪以UIA_PIPE_开头的命名管道活动来检测异常。同时，利用osquery等工具标记与UIA框架交互的可疑进程，并警惕UIA滥用可能成为新型攻击向量的趋势，加强专业威胁监测服务部署。

HackerNews 编译，转载请注明出处：

安全研究人员确认，新型Coyote银行木马成为首个在真实攻击中滥用微软UI自动化框架（UIA）的恶意软件。该木马锁定75家银行及加密货币平台用户，主要针对巴西地区，通过UIA技术窃取登录凭证，验证了Akamai在2024年12月提出的技术预警。

攻击流程剖析

目标识别
木马首先比对活动窗口标题与预设的75家金融机构/交易所地址列表。若未匹配，则启动UIA框架深度扫描浏览器标签页及地址栏内容。凭证窃取

UIA技术滥用：利用微软为辅助工具设计的合法框架，解析其他应用程序的UI子元素，无需了解目标程序内部结构即可提取隐藏数据。离线下操作：即使无网络连接，仍可持续执行检测流程，大幅提升攻击成功率。

 

攻击升级

除窃取数据外，攻击者可操纵UI元素实施隐蔽攻击，例如篡改浏览器地址栏诱导用户跳转钓鱼网站，或通过最小化视觉痕迹实施定向重定向。

技术演变与影响

历史背景：2024年2月首次发现的Coyote木马原以键盘记录和钓鱼覆盖层攻击拉美金融机构，新变种则通过UIA绕过端点检测与响应（EDR）工具的监控。攻击范围扩展：目标金融机构从今年1月的73家增至75家，涵盖传统银行与加密货币平台。多重窃密手段：同步采用键盘记录、屏幕截图及覆盖虚假界面等传统手法，形成复合攻击链。

防御建议

监控异常行为：检测陌生进程加载UIAutomationCore.dll的行为，追踪以UIA_PIPE_开头的命名管道活动。威胁狩猎：使用osquery工具标记与UIA框架交互的可疑进程，部署专业威胁监测服务识别异常UIA活动。风险认知：Akamai强调UIA滥用可能成为新型攻击向量，需警惕其被广泛利用的趋势。

 

 

 

---

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文