前言

2024 年 12 月，我們發表了一篇部落格文章，指出攻擊者可能濫用 Microsoft 的UIA（使用者介面自動化）框架來竊取憑證、執行程式碼等行為。當時這只是概念驗證（PoC）…直到現在。

約在該部落格發表後兩個月，我們的擔憂成真──銀行木馬惡意程式 Coyote的變種開始在野外濫用 UIA，成為首例此類攻擊的實際案例。

自 2024 年 2 月首次發現以來，這類 UIA 濫用行為成為 Coyote 惡意活動的最新軌跡。

本文將深入探討該變種，了解 UIA 如何被利用於惡意用途，以及防禦者該如何應對。

什麼是 Coyote 惡意程式？

Coyote 是於 2024 年 2 月被發現的惡意軟體家族，在拉丁美洲地區造成了重大損害。它是一種銀行木馬，會透過鍵盤側錄、偽裝頁面等技術竊取金融資訊。

該惡意程式使用 Squirrel安裝程式進行散播（因此得名「Coyote」，呼應郊狼捕捉松鼠的特性）。在一場著名攻擊中，Coyote鎖定巴西公司，嘗試部署遠端存取木馬來竊取資訊。

初次發現後，眾多安全研究人員分析了 Coyote 的運作，其中 Fortinet 於 2025 年 1月發表的研究詳盡剖析了其內部架構與攻擊鏈。

UIA 濫用行為

我們在前人研究基礎上發現關鍵新細節：Coyote 現在將 UIA納入其攻擊流程中。雖然與其他銀行木馬一樣鎖定金融資訊，但 Coyote最大的不同點在於它蒐集資訊的方式──即（濫）用 UIA。

郊狼變得狂暴

感染過程中，Coyote向指揮控制伺服器回報受害者的詳細資訊，包括電腦名稱、使用者名稱與系統屬性。其中最關鍵的資料，是受害者使用的金融服務。

初期，Coyote 使用常見手法：透過 Windows API GetForegroundWindow()取得目前活動視窗的控制代碼，並比對視窗標題與硬編碼的銀行與加密貨幣網站清單。

若未找到對應標題，Coyote 便會啟用 UIA，掃描該視窗的 UI子元素，嘗試找出瀏覽器分頁或網址列，並與清單比對。

為此，建立 UIAutomation COM 物件，以目前前景視窗為根元素（圖 1）。

Fig. 1: UIA creation

遍歷前景應用程式的每個子元素，尋找網址列內容(Figure 2).

Fig. 2: UIA iterates through sub-elements

若找到網址，與清單比對是否屬於目標銀行或交易所 (Figure 3).

Fig. 3: Coyote attempting to match bank names to its list

下表為 Coyote 依據名稱或網址所分類的目標類型，共計 75 筆目標地址：

Coyote 嘗試匹配的銀行和相應的數字類型

如果沒有UIA，解析另一個應用程式的子元素並非易事。為了能夠有效地讀取另一個應用程式中子元素的內容，開發人員需要非常了解特定目標應用程式的結構。

無論惡意軟體是處於線上狀態還是離線模式，Coyote都能執行檢查。這增加了成功識別受害者銀行或加密貨幣交易所並竊取其憑證的幾率。

UIA
為攻擊者提供了一些東西，包括為惡意軟體開發人員提供了一個解析另一個應用程式的子元素的簡單解決方案。

進階 UIA 攻擊技術

這是我們首次觀察到惡意程式使用UIA，顯示惡意開發者對新技術的採用速度之快。以下為其他可能的惡意用途：

圖 4 顯示UIA 可用來辨識關鍵 UI 元素並提取敏感資訊

圖 4：濫用 UIA 提取敏感資訊的 PoC

UI 元件可被操控用於社交工程，例如偽造網址列並模擬點擊導向惡意網站（見圖 5）

Fig. 5: 圖 5：濫用 UIA 進行社交工程的 PoC.

如何偵測異常 UIA 使用

管理者可監控 UIAutomationCore.dll 的載入情況。若該 DLL被未知進程載入，應引起注意。

Fig. 7: 查詢開啟 UIA 命名管道的進程：

結語

惡意程式不斷演進——在這場「郊狼與松鼠」的追逐戰中，攻防雙方皆需掌握新興威脅。

雖然 UIA 看似無害，但若被濫用，其影響不容小覷。揭露 Coyote技術細節，有助防禦者建立偵測與應對機制。

我們認為，UIA 是一項具威脅性的攻擊向量，未來濫用情況恐將持續增加，值得高度重視。

延伸閱讀：完整研究請見原始 UIA 技術部落格Read more research