Лазейка в Windows: троян крадёт данные под прикрытием

Злоумышленники нашли новый способ слежки за пользователями Windows, превратив систему Microsoft UI Automation (UIA) в инструмент для кражи данных. Изначально UIA создавалась для помощи людям с ограниченными возможностями, позволяя экранным читалкам и другим вспомогательным технологиям взаимодействовать с интерфейсом. Однако теперь этот механизм используют для скрытого мониторинга действий жертв.

Банковский троян Coyote, нацеленный в основном на пользователей из Бразилии, научился анализировать содержимое браузера через UIA. Когда жертва заходит на сайт банка или криптобиржи, вредоносное ПО проверяет URL через дерево автоматизации, сравнивая его с заранее заданным списком из 75 финансовых сервисов. Если совпадение найдено, активируется шпионский модуль.

Пока троян лишь отслеживает посещение определённых страниц, но эксперты Akamai доказали, что через UIA можно перехватывать и вводимые данные — логины, пароли и другие конфиденциальные сведения. Microsoft пока не прокомментировала ситуацию, но проблема напоминает историю со злоупотреблением службами доступности в Android.

Фреймворки вроде UIA разрабатываются для благих целей, но их мощь привлекает киберпреступников, превращая вспомогательные технологии в опасный инструмент.