Coyote: Phần mềm độc hại đầu tiên lạm dụng tự động hóa giao diện người dùng


Một trojan có tên Coyote, chuyên nhắm mục tiêu vào các ngân hàng, hoạt động chủ yếu tại Brazil hơn một năm qua, đã trở thành phần mềm độc hại đầu tiên được biết đến khai thác framework UI Automation (UIA) của Microsoft để đánh cắp thông tin đăng nhập.
Trojan Coyote và chiến thuật UI Automation mới
Theo các nhà nghiên cứu tại Akamai, từ tháng 2/2025, biến thể mới của Coyote đã sử dụng công cụ trợ năng để trích xuất dữ liệu đăng nhập của người dùng tại hơn 75 ngân hàng và sàn giao dịch tiền điện tử ở Brazil. UIA vốn được xây dựng để giúp trình đọc màn hình và các công cụ kiểm thử tương tác với các thành phần giao diện (nút bấm, hộp văn bản, menu) thông qua tự động hóa, nhưng nay lại trở thành công cụ hữu ích cho tin tặc. Đây là bước tiến cho phép Coyote có thể tránh né nhiều phương pháp phát hiện truyền thống.
Phương thức lây lan và hoạt động ban đầu
Theo Fortinet, Coyote thường lây lan qua chiến dịch phishing, trong đó email gửi kèm một tệp zip chứa shortcut .lk độc hại. Khi nạn nhân mở tệp này, nó sẽ kích hoạt script PowerShell để tải xuống thêm các payload, bao gồm chính Coyote. Sau khi lây nhiễm, phần mềm độc hại thu thập thông tin cơ bản về hệ thống (tên máy, tên người dùng, model thiết bị) và gửi đến máy chủ điều khiển (C2). Tiếp theo, Coyote sẽ theo dõi tên cửa sổ đang hoạt động trên màn hình của nạn nhân; nếu tiêu đề này khớp với một dịch vụ tài chính nằm trong danh sách mục tiêu, nó sẽ đánh chặn thông tin đăng nhập. Nếu không khớp, malware sẽ chuyển sang chiến thuật khác để tiếp cận thông tin.
Nếu không tìm được dấu hiệu trực tiếp từ tiêu đề cửa sổ, Coyote tận dụng UI Automation để thâm nhập sâu hơn vào cửa sổ ứng dụng, phân tích các thành phần của trình duyệt như tab đang mở và thanh địa chỉ nhằm tìm kiếm tên miền liên quan đến ngân hàng hoặc sàn giao dịch tiền điện tử. Phương pháp này có ưu thế hơn hẳn so với JavaScript injection hay browser hook, vốn thường bị gián đoạn khi các trang web thay đổi giao diện hoặc khi trình duyệt cập nhật. UIA cho phép kẻ tấn công dễ dàng phân tích các thành phần con của ứng dụng khác, hoạt động trên nhiều loại trình duyệt mà không cần viết mã tùy chỉnh cho từng trang, và vẫn nhận diện được trang đăng nhập ngay cả khi có thay đổi bề ngoài. Khi đã xác định đúng mục tiêu, Coyote có thể theo dõi các thao tác nhập liệu hoặc tạo lớp phủ (overlay) để lấy thông tin đăng nhập một cách hiệu quả.
Khó khăn trong phát hiện mã độc này
Akamai cho biết Coyote không cần kết nối Internet liên tục để hoạt động. Nó duy trì hai vòng lặp: một cho chế độ trực tuyến, một cho chế độ ngoại tuyến, liên tục dò tìm hoạt động tài chính trên máy. Nếu không kết nối được với máy chủ C2, nó sẽ tự động thử lại và tiếp tục quét hệ thống. Ở cả hai chế độ, malware vẫn thu thập dữ liệu người dùng và hệ thống, có thể dùng cho phishing hoặc gian lận trong tương lai.
Trước đó vào tháng 12, Akamai đã cảnh báo UIA có thể trở thành kênh ẩn giúp malware giám sát giao diện, điều khiển ứng dụng và trích xuất thông tin mà không bị phát hiện; biến thể Coyote mới đã biến nguy cơ này thành mối đe dọa thực tế. Một số dấu hiệu có thể giúp phát hiện như sự xuất hiện của UIAutomationCore.dll trong các tiến trình bất thường hoặc giao tiếp liên tiến trình qua các pipe bắt đầu bằng UIA_PIPE_
. Tuy nhiên, việc nhận diện rất khó vì Coyote không chèn mã hay khai thác lỗ hổng của trình duyệt mà chỉ sử dụng API hợp pháp. Đây là một ví dụ điển hình cho xu hướng “living-off-the-land” – kẻ tấn công lợi dụng các tính năng hợp pháp (như PowerShell, WMI, và nay là UI Automation) để qua mặt các cơ chế bảo mật truyền thống.
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số biện pháp nhằm phòng chống mã độc Coyote và các biến thể phần mềm độc hại tương tự:
Kiểm soát chặt chẽ email và tệp tải về:
Áp dụng chính sách lọc email để chặn các tệp nén đáng ngờ (.zip, .rar) hoặc shortcut độc hại (.lnk, .lk).
Ngăn chặn việc mở tệp đính kèm từ nguồn không xác thực, đặc biệt là những tệp kích hoạt script PowerShell hoặc tải thêm payload.
Giám sát hành vi thực thi và tiến trình bất thường:
Theo dõi các tiến trình có khả năng bị lạm dụng như
powershell.exe
,rundll32.exe
, hoặc tiến trình bất thường có nạp UIAutomationCore.dll.Giám sát dấu hiệu giao tiếp liên tiến trình qua pipe có tiền tố
UIA_PIPE_
, vì đây có thể là chỉ dấu của việc lạm dụng UI Automation.
Bảo vệ thông tin đăng nhập và dữ liệu nhạy cảm:
Không lưu thông tin đăng nhập ngân hàng hoặc ví tiền điện tử trong trình duyệt.
Sử dụng trình quản lý mật khẩu độc lập và bật xác thực đa yếu tố (MFA) cho các tài khoản tài chính.
Giới hạn quyền ghi và thực thi trong hệ thống:
Hạn chế quyền ghi và chạy file trong các thư mục như
%TEMP%
,%LOCALAPPDATA%
– nơi malware thường lưu và thực thi.Tăng cường giám sát truy cập đến các định dạng tệp chứa thông tin quan trọng (.docx, .pdf, .xls, .ovpn, .rdp) để ngăn rò rỉ dữ liệu.
Nâng cao nhận thức bảo mật cho người dùng:
Huấn luyện người dùng cách nhận diện tệp shortcut giả mạo, email phishing và kỹ thuật giả mạo tài liệu.
Nhấn mạnh việc không cài đặt phần mềm hoặc truy cập liên kết từ các trang chia sẻ không đáng tin cậy.
Giải thích nguy cơ từ các tính năng hợp pháp của hệ điều hành có thể bị lợi dụng, như PowerShell hoặc UI Automation.
Thiết lập giám sát và phát hiện xâm nhập nâng cao:
Theo dõi lưu lượng mạng đầu ra để phát hiện các hành vi beaconing hoặc truyền dữ liệu bất thường tới máy chủ C2.
Giám sát HTTP header bất thường hoặc truy cập đến domain/tên miền lạ.
Sử dụng các công cụ EDR/XDR để phát hiện hành vi living-off-the-land – tận dụng tính năng hợp pháp của hệ thống để tấn công.
Tham khảo
Subscribe to my newsletter
Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

Tran Hoang Phong
Tran Hoang Phong
Just a SOC Analyst ^^