MS의 ‘앱 간 상호작용 활성화’ 기술, 코요테 공격자가 악용
- MS의 UIA라는 프레임워크, 공격에 활용 가능
- 원래는 이론상 개념이었으나, 누군가 실제로 구현
- 코요테라는 뱅킹 멀웨어가 이 방식으로 퍼짐
MS 셰어포인트가 최근 전 세계 보안 전문가들의 주목을 받고 있는 가운데, MS의 ‘UI 자동화(UI Automation, UIA)’ 프레임워크를 악용하는 새 공격 기법이 발견됐다. 보안 업체 아카마이(Akamai)에 의하면 코요테(Coyote)라는 이름의 뱅킹 트로이목마가 이미 이런 방식으로 퍼지고 있다고 한다. 코요테는 MS UIA를 활용해 확산되는 첫 번째 멀웨어로 이름을 남기게 됐다.
“UIA를 활용해 악성 행위를 한다는 건 몇 달 전만 해도 이론상으로만 존재하는 위협이었습니다. 하지만 지금 그 이론을 실제적인 공격으로 구현한 공격자가 등장한 겁니다. 새로운 유형의 공격이 시작된 것이라고 할 수 있습니다.” 아카마이 측의 설명이다.
UIA의 ‘이론상’ 악용 가능성을 먼저 경고한 것도 아카마이였다. 지난 해 12월 개념증명까지 공개하며 이를 공개했지만, 실제적인 위협이라는 긴장감은 없었다. “UIA는 일종의 API입니다. 윈도 상에서 다른 애플리케이션의 사용자 인터페이스에 접근해 조작할 수 있게 해 주는 기능을 가지고 있습니다. 각종 실험이나 애플리케이션 간 상호작용을 위한 기능이지만, 공격자들에게도 도움이 될 수 있음을 지난 해에 지적한 바 있습니다.”
어떤 면에서 도움이 된다는 것일까? “보통 공격자가 특정 애플리케이션을 공격하려면, 그 애플리케이션의 설계 방식이나 구조에 대한 자세한 지식을 갖추고 있어야 합니다. 그래서 애플리케이션을 면밀히 분석하고 학습하는 편이죠. 하지만 UIA가 그 과정을 단순화시켜줍니다. UIA를 가지고 애플리케이션의 UI를 스캔하고 콘텐츠를 추출한 후, 그것을 활용해 공격을 기획하면 되거든요. 로그인 데이터를 탈취할 수도 있고요.”
한편 코요테는 2024년 2월 처음 발견된 뱅킹 멀웨어다. 당시 남아메리카 지역 금융 조직들 사이에서 퍼지고 있었다. 피싱 오버레이나 키로깅 등으로 은행 고객들의 크리덴셜을 탈취한 뒤, 이를 악용하는 게 코요테 배후 세력의 주요 수법이었다. “하지만 이번에 새로 발견된 변종의 경우, UIA를 활용해 엔드포인트 보안 제품들을 우회하고 있었습니다.”
이번 코요테는 UIA를 통해 피해자가 어떤 뱅킹 사이트를 방문하고 있는지를 파악한다. 인터페이스를 스캔할 때 활성된 창의 제목이나 주소 필드를 확인함으로써 가능해진다. “이전에는 일반 API에 의존했습니다만 UIA를 통해 인터페이스의 여러 요소들을 보다 효율적으로 살필 수 있다는 걸 공격자들이 깨달은 듯합니다. UIA를 통해 피해자가 금융 활동을 하고 있는지, 어떤 기업이나 기관과 하고 있는지를 파악하는 것입니다.”
이번 버전 코요테의 경우 더 많은 정보를 가져가는 것으로 분석됐다. “피해자의 금융 활동이나 거래 은행을 알아내는 데서 그치지 않습니다. 컴퓨터 이름, 사용자 이름, 브라우저 데이터 등 피해자 시스템의 상세 정보를 수집해 C&C 서버로 전송합니다. 로컬에서 대부분의 악성 행위를 수행하기 때문에 트래픽 탐지로도 잘 잡히지 않습니다.”
아카마이가 연구한 바에 따르면 UIA를 통해 공격할 경우, 각종 정보를 보다 쉽게 가져갈 수 있다는 것 말고도 다른 장점들이 존재한다고 한다. “공격자가 원하는 UI 요소를 조작할 수도 있습니다. 저희 실험을 통해서 악성코드로 브라우저 주소창을 조작하고 클릭을 시뮬레이션 해 사용자가 자기도 모르게 피싱 사이트로 접속하게 꾸미기도 했습니다. UIA를 통해서 이런 악성 행위를 실시하면, 화면 상에서는 정상 행위로 보입니다.”
이 때문에 사용자 기업들은 UIA를 통한 수상한 활동 내역을 수집해 분석할 필요가 있다고 아카마이는 강조한다. “여기서도 필요한 게 선제적 방어입니다. 미리부터 UIA와 관련된 로그를 분석하고, 정책을 새롭게 설정해야 합니다. 아직 공격자들이 남미 대륙에서만 움직이고 있다고 안심해서는 안 됩니다. 이런 새로운 기법은 다른 대륙의 공격자들도 곧바로 따라하거든요.”
Related Materials
- Coyote in the Wild: First-Ever Malware That Abuses UI Automation - Akamai Blog, 2025년
- Coyote Banking Trojan First to Abuse Microsoft UIA - SecurityWeek, 2025년
- New Coyote Malware Variant Exploits Windows UI Automation to Harvest Credentials - The Hacker News, 2025년
- Coyote Malware Uses Microsoft UI Automation in WILS to Hijack Credentials - CyberPress, 2025년
