سلالة جديدة من Coyote تستغل واجهة UI Automation في ويندوز لسرقة بيانات البنوك والعملات الرقمية
تحليل أمني - 23 يوليو 2025
الكاتب: مايسترو نيرو
كشفت تحليلات جديدة أن البرمجية الخبيثة Coyote أصبحت أول برمجية معروفة تستغل واجهة إمكانية الوصول في ويندوز المعروفة باسم UI Automation لسرقة بيانات حساسة من المستخدمين، خاصة في البرازيل.
آلية الاستغلال الجديدة
وفقًا لتحليل من شركة Akamai، تستخدم النسخة الجديدة من Coyote واجهة UIA لقراءة عناصر واجهة المستخدم في المتصفح ومقارنتها بقائمة تحتوي على 75 عنوان ويب تخص مؤسسات مالية وبورصات عملات رقمية. في حال عدم تطابق العنوان، تحاول البرمجية تحليل العناصر الداخلية في النافذة لتحديد ما إذا كانت تابعة لأحد هذه العناوين.
UIA هي ميزة شرعية ضمن .NET Framework تُستخدم لمساعدة تقنيات الوصول مثل برامج قراءة الشاشة، لكنها استُغلت هنا للتجسس وجمع بيانات اعتماد تسجيل الدخول.
استهداف واسع وتطور مستمر
كانت Coyote قد كُشف عنها لأول مرة في عام 2024 بواسطة Kaspersky، وتستهدف المستخدمين في البرازيل بقدرات تتضمن تسجيل ضغطات المفاتيح، التقاط لقطات الشاشة، وتقديم صفحات مزيفة لسرقة بيانات الدخول.
الإصدار الأخير من البرمجية يرفع عدد المؤسسات المستهدفة إلى 75 مقارنة بـ 73 تم رصدها سابقًا، ما يدل على تطور مستمر في قدراتها وتقنياتها.
النسخة الجديدة من برمجية Coyote تستغل واجهة UI Automation في ويندوز للوصول إلى معلومات حساسة من مستخدمي البنوك والعملات الرقمية في البرازيل، مما يعكس تطورًا في أساليب استغلال ميزات النظام الشرعية في هجمات البرمجيات الخبيثة.
تم التعديل في: 23 يوليو 2025