Des experts en cybersecurite viennent de lancer un avertissement concernant une nouvelle variante du logiciel malveillant Coyote qui exploite secretement les fonctionnalites legales de Windows pour collecter des informations financieres des utilisateurs en particulier les informations de connexion bancaire et les portefeuilles electroniques.
Attaque du noyau du systeme
Selon un rapport de la societe de cybersecurite Akamai la nouvelle variante de Coyote utilise la plateforme d'automatisation de l'interface utilisateur (UI Automation - UIA) de Microsoft pour surveiller le comportement des utilisateurs.
Conçue pour aider les personnes handicapees ou aider les logiciels a naviguer plus facilement dans le systeme d'exploitation UIA est exploitee par Coyote pour detecter les interactions avec des sites Web financiers tels que les banques ou les plateformes de trading de crypto-monnaies.
Apres avoir ete installe via le programme d'installation Squirrel (un outil courant dans les applications Windows) Coyote enregistre des informations telles que le nom de l'ordinateur l'utilisateur les attributs systeme et les services financiers que la victime utilise. Ces donnees sont envoyees au serveur de controle a distance de l'agresseur.
La phase de'spionnage' avant de se lancer
Le logiciel malveillant utilise l'API Windows appelee GetForegroundWindow() pour identifier la fenetre en activite puis la compare a une liste de cibles deja cryptee.
S'il ne trouve pas la cible dans le titre de la fenetre il utilisera l'automatisation de l'UI pour obtenir l'adresse Web a laquelle l'utilisateur accede une etape sophistiquee qui lui permet de determiner avec precision quand l'utilisateur se connecte a la banque ou au portefeuille numerique.
Actuellement ce comportement n'est qu'a la phase de 'espionnage' mais les chercheurs ont prouve que la fonctionnalite UIA peut etre exploitee pour voler directement les informations de connexion.
Le risque de propagation mondiale
Selon Akamai le logiciel malveillant Coyote se concentre sur les utilisateurs au Bresil une strategie habituelle des pirates informatiques visant a tester l'efficacite avant de s'etendre a d'autres marches notamment l'Asie et l'Europe.
Il n'y a pas si longtemps des experts ont egalement decouvert 'LameHug' un type de logiciel malveillant qui utilise l'IA pour se propager via des fichiers ZIP malveillants. Cela montre que les menaces reseau sont de plus en plus sophistiquees et innovantes obligeant les utilisateurs et les organisations a etre plus vigilants.
La recommandation
Les utilisateurs de Windows doivent etre prudents lorsqu'ils installent des applications provenant de sources non definies et doivent utiliser des logiciels antivirus mis a jour regulierement. Les institutions financieres sont egalement conseillees de renforcer la surveillance des comportements d'utilisateurs anormaux sur les plateformes en ligne.
