详细内容或原文请订阅后点击阅览
土狼恶意软件是有史以来第一个滥用Windows UI自动化的恶意软件
新的土狼恶意软件使用Windows UI自动化来窃取银行凭据,以75个银行和加密平台的巴西用户为目标。土狼恶意软件现在是第一个在野外利用Microsoft的UI自动化框架的人,验证了2024年12月Akamai研究人员的先前警告。UI Automation(UIA)框架是Microsoft -oficesibaly框架,是[…]
来源:Security Affairs _恶意软件土狼恶意软件是有史以来第一个滥用Windows UI自动化的恶意软件
新的土狼恶意软件使用Windows UI自动化来窃取银行凭据,以75个银行和加密平台的巴西用户为目标。
土狼恶意软件现在是第一个在野外利用Microsoft的UI自动化框架的人,验证了Akamai研究人员于2024年12月的先前警告。UI自动化(UIA)框架是Microsoft访问性框架,是一个可以自动访问Windows Applications Windows Applications用户界面(UI)的Microsoft可访问性框架。
警告2月,Fortiguard Labs研究人员使用执行PowerShell命令部署土狼银行Trojan的LNK文件检测到了一项活动。威胁参与者通过窃取财务数据来针对巴西用户,恶意软件可以从70多个财务应用程序和许多网站中收集敏感信息。土狼银行特洛伊木马支持多种恶意功能,包括钥匙扣,捕获屏幕截图以及显示网络钓鱼覆盖物以窃取敏感的凭证。
检测到“土狼现在利用UIA作为其运营的一部分。像其他任何银行特洛伊木马一样,土狼也在狩猎银行信息,但是将土狼与众不同的是获得此信息的方式,涉及(AB)使用UIA。”阅读Akamai发表的报告。
报告土狼恶意软件收集系统详细信息,并专注于确定受害者的金融服务。它首先根据75个银行和加密网站地址的列表检查活动窗口的标题。如果找不到匹配,它会使用Microsoft的UI自动化(UIA)框架来挖掘浏览器选项卡之类的UI元素。这使土狼可以提取隐藏的网址并将其匹配到其目标列表。 UIA为攻击者提供了一种简单的方法,可以分析其他应用程序的子元素甚至离线,从而增加了凭证盗窃的机会。
采用uiautomationcore.dll
uia_pipe_*
以前的博客文章
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook mastodonPierluigi Paganini
SecurityFaffairs