Coyote Trojan’un Gelişimi ve UIA Kullanımı
Coyote, kullanıcıların bankacılık ve kripto para hizmetlerine erişim sağlarken kimlik bilgilerini çalmayı hedefleyen bir tür bankacılık Trojan’ıdır. İlk olarak Şubat 2024‘te kaydedilen bu zararlı yazılım, o tarihten bu yana önemli değişiklikler geçirmiştir. Özellikle, Coyote şu anda Brezilyalı kullanıcıları hedef almanın yanı sıra, 75 farklı bankacılık ve kripto para borsası uygulamasının kimlik bilgilerini çalmaya devam etmektedir.
Coyote’un ilk versiyonları, temel olarak keylogging ve phishing gibi geleneksel yöntemleri kullanırken, yeni versiyonu Microsoft’un UI Automation (UIA) çerçevesinden faydalanarak daha etkili bir şekilde veri çalmayı başarmaktadır. Coyote, bir kullanıcı web tabanlı bankacılık veya kripto para hizmetlerini tarayıcıda açtığında, bu bilgileri toplamak için UIA’yı kullanmaktadır. Eğer Coyote, pencere başlığını kullanarak hedef bulamazsa, tarayıcıdaki arayüz öğelerinden (sekme veya adres çubuğu) web adresini elde etmek için UIA’yı kullanmaktadır.
Akamai araştırmacıları, UIA’nın Çarşamba 2025’te yapılan saldırılarla kötüye kullanıldığını ve bu durumun, kötü amaçlı yazılımların Microsoft UIA’yı veri hırsızlığı için ilk gerçek dünya örneği olduğunu göstermektedir. Coyote, kurulu uygulamalar için geleneksel yöntemlerle veri çalmaya devam ederken, UIA istismarını da yeni bir araç olarak kullanmaktadır.
UIA ve Veri Hırsızlığı Metodolojisi
Microsoft’un UIA’sı, kullanıcıların özellikle engelli bireylerin cihazlarını etkili bir şekilde kullanabilmelerine olanak tanıyan bir erişebilirlik çerçevesidir. Ancak bu güçlü araç, kötü niyetli yazılımlar tarafından kullanıldığında ciddi sorunlara yol açabilir. Akamai, UIA’nın nasıl kötüye kullanıldığını ve kullanıcı kimlik bilgilerini çalmak için nasıl bir kanıt konsepti gösterdiğini paylaşmıştır.
UIA, kullanıcı arayüzü öğelerini inceleyip kontrol edebilmek için çeşitli API’ler sağlar. Örneğin, Coyote, hedef bankacılık sitelerini tanımlamak için UIA’yı kullanırken, pencere içindeki arayüz öğelerinin alt elemanlarını çözümleyerek browser sekmelerini ve adres çubuklarını tarayabilir.
Bunun sonucunda, cihaza önceden yüklenmiş olan 75 hedef hizmetle karşılaştırmalar yaparak, eğer bir eşleşme bulunamazsa, UIA yardımıyla arayüz öğelerini sıkça analiz eder. Bu sürecin sonunda üretilen veriler, alıştığımız kötü amaçlı yazılım örneklerinden çok daha sofistike bir şekilde kullanıcı bilgilerini çalmaya yönelik bir tehdit oluşturmaktadır.
Güvenlik Önlemleri ve Gelecek
Bu durum, Microsoft‘un etki alanındaki UIA sistemlerinin güvenlik açığını göstermektedir. BleepingComputer, bu sorun hakkında Microsoft’a sorular yöneltmiş ancak henüz bir yanıt alınamamıştır. UIA’nın kötüye kullanılmasının önlenmesi adına gerekli önlemlerin alınıp alınmayacağı hala bir muamma.
Erişebilirlik sistemleri, engelli bireylerin teknolojiye tam erişimini sağlamak için güçlü araçlar sunmaktadır. Fakat, bu tür sistemlerin kötü niyetli yazılımlar tarafından kötüye kullanılma potansiyeli, güvenlik zaafiyetlerini de beraberinde getiriyor. Özellikle Android platformunda, erişebilirlik hizmetlerinin kötüye kullanımı büyük boyutlara ulaşmış durumdadır. Bu durum, Google‘ın yıllar içinde çeşitli tedbirler almasına neden olmuştur ve benzer önlemlerin Windows platformunda da alınması kritik bir gereklilik haline gelmektedir.
Sonuç ve Öneriler
Coyote’un bu yeni evrimi, kötü amaçlı yazılımların ne kadar hızlı gelişebileceğini ve güvenlik sistemlerinin zamanla ne kadar etkisiz hale gelebileceğini göstermektedir. Gelecek nesil kötü niyetli yazılımlara karşı daha etkili savunmalar geliştirmek, hem bireysel kullanıcılar hem de işletmeler için önemlidir.
Kullanıcıların, cihazlarını korumak adına çeşitli güvenlik yazılımlarını ve güncellemelerini dikkate alması, verilerini güvence altına almak açısından hayati öneme sahiptir. Ayrıca, kurumların güvenlik politikaları oluşturarak, bu tür tehditlere karşı duyarlı hale gelmeleri tavsiye edilmektedir. Bilinçli bir kullanıcı olmak, mevcut tehditleri anlamak ve onlara karşı önceden hazırlıklı olmak, veri güvenliğinin sağlanması noktasında kritik bir adımdır.
