사이버 보안 전문가들은 최근 Windows에서 합법적인 기능을 은밀히 악용하여 사용자 금융 정보 특히 은행 로그인 정보와 전자 지갑을 수집하는 악성 코드 Coyote60의 새로운 변종에 대한 경고를 발표했습니다.
시스템 코어 내부 공격
Akamai dat 사이버 보안 회사의 보고서에 따르면 코요테의 새로운 변종은 사용자 행동을 감시하기 위해 마이크로소프트의 사용자 인터페이스 자동화(UI Automation – UIA) 플랫폼을 사용합니다.
원래 장애인을 지원하거나 소프트웨어가 운영 체제를 더 쉽게 탐색하도록 설계된 IS UIA는 코요테에 의해 은행이나 암호화폐 거래소와 같은 IS 금융 웹사이트와의 상호 작용을 감지하는 데 악용되고 있습니다.
설치 후 Squirrel 설치 프로그램(Windows 응용 프로그램에서 흔히 사용되는 도구)을 통해 Coyote는 컴퓨터 이름 사용자 Camera 속성 Camera 시스템 및 피해자가 사용 중인 금융 서비스와 같은 정보를 기록합니다. 이 데이터는 공격자의 원격 제어 서버로 전송됩니다.
범행 전 '정찰' 단계
악성 소프트웨어는 GetForegroundWindow()라는 Windows API를 사용하여 활성 창을 확인한 다음 암호화된 목표 목록과 비교합니다.
창 제목에서 목표를 찾을 수 없으면,는 UI Automation을 활용하여 사용자가 접속 중인 웹사이트 주소를 가져옵니다. an는 사용자가 은행이나 암호화폐 지갑에 로그인하는 시점을 정확하게 식별할 수 있는 정교한 단계입니다.
현재 이 행위는 단순한 스파이 행위 단계에 머물러 있지만 연구자들은 UIA 기능이 직접 로그인 정보를 훔치는 데 악용될 수 있음을 입증했습니다.
전 세계적인 확산 위험
Akamai에 따르면 코요테 악성 코드는 브라질 사용자에게 집중하고 있으며 이는 해커가 아시아와 유럽을 포함한 다른 시장으로 확장하기 전에 효율성을 테스트하기 위한 일반적인 전략입니다.
얼마 전 전문가들은 AI를 사용하여 악성 ZIP 파일을 통해 확산되는 최초의 악성 코드인 'LameHug Fantasy'도 발견했습니다. 이는 사이버 위협이 점점 더 정교하고 창의적으로 변하고 있음을 보여주며 사용자와 조직은 경각심을 높여야 합니다.
추천
Windows 사용자는 출처가 불분명한 소스에서 응용 프로그램을 설치할 때 주의해야 하며 정기적으로 업데이트되는 바이러스 백신 소프트웨어를 사용해야 합니다. 금융 기관도 온라인 플랫폼에서 비정상적인 사용자 행동에 대한 감시를 강화하는 것이 좋습니다.
