Microsoft UI Automation frameworkは、Microsoft Windows用のアクセシビリティフレームワークです。
ユーザインターフェイス(UI)に関する情報へのプログラムによるアクセスを提供することで、支援技術製品と自動テストフレームワークのニーズに対応します。
このUIAフレームワークは、2024年12月に研究者が概念実証を公開して以降、いくつかのマルウェアに悪用されてきました。
そして、先日、初めてその悪用の範囲がバンキング型トロイの木馬マルウェアにまで及んでいることが確認されました。
そのマルウェアの名前はCoyoteです。
Coyoteは、どのようにしてUIAフレームワークを悪用しているのでしょうか。
- ブラウザ要素を渡り歩く
バンキングトロイは金融系サイトへのアクセスを行うブラウザを探します。
UIAを使わない場合、まずはそれぞれのウインドウのタイトルを確認して特定していくことになります。
ウインドウの中にあるUI子要素を識別するような内部構造を把握していないと難しい調査活動は従来のバンキングトロイでは容易ではありません。
しかし、UIAを使用すると、それがそうでない場合よりも簡単に実現できます。
Coyoteは、タイトルがCoyoteが探しているアドレスのいずれにも一致しない場合でも、調査を継続できます。
一致するものが見つからない場合、CoyoteはUIAを使用してウィンドウのUI子要素を解析し、ブラウザのタブまたはアドレスバーを識別しようとします。
こうして狙いのウインドウを探し出します。
UIAの存在が攻撃機構の実現の複雑さを減らしています。 - データを抽出する
UIAはUI要素を操作できます。
そうです。認証情報や口座番号などが入力されるUI要素を特定し、その値をUIAの機能を使って抜き出すことができます。 - 要素を操作する
UIAはオートメーションのために作られた機構です。
これはアプリケーションをテストする立場で役に立つだけではありません。
脅威アクターはブラウザのアドレスバーを改ざんし、クリックを模倣することで、被害者を悪意のあるサーバにシームレスにリダイレクトします。
被害者がクリックすることなく、別のサイトを表示した状態にできてしまいます。
その別のサイトが金融系サイトに類似した見た目になっていると、どうなるでしょう。
被害者は疑いを持つことなく、サイトにログインしようとしてしまうかもしれません。
UIAの悪用は徐々に広がってきています。
通常の利用者にとって便利な機構は、脅威アクターにとっても便利、ということのようです。
Coyote in the Wild: First-Ever Malware That Abuses UI Automation
https://www.akamai.com/blog/security-research/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild
| この記事をシェア |
|
|---|
