Neue Coyote-Malware nutzt Windows UI Automation für Datendiebstahl

BRASILIEN / LONDON (IT BOLTWISE) – Eine neue Variante der Coyote-Malware hat die Sicherheitsgemeinschaft alarmiert, da sie als erste bekannte Schadsoftware die Windows-UI-Automation ausnutzt, um sensible Bankdaten zu stehlen.

Die jüngste Entwicklung in der Welt der Cyberkriminalität zeigt, wie raffiniert und anpassungsfähig Malware geworden ist. Die Coyote-Malware, die erstmals 2024 von Kaspersky entdeckt wurde, hat sich weiterentwickelt und nutzt nun die Windows-UI-Automation, um gezielt Bankdaten zu stehlen. Diese Funktion, die ursprünglich entwickelt wurde, um Menschen mit Behinderungen den Zugang zu digitalen Inhalten zu erleichtern, wird nun von Cyberkriminellen missbraucht.

Besonders besorgniserregend ist, dass die neue Coyote-Variante speziell auf brasilianische Nutzer abzielt und es auf die Zugangsdaten von 75 Banken und Kryptowährungsbörsen abgesehen hat. Laut Tomer Peled, einem Sicherheitsexperten von Akamai, ist dies ein beispielloser Schritt in der Malware-Entwicklung. Die Malware nutzt die UI-Automation, um Informationen aus den Benutzeroberflächen von Anwendungen zu extrahieren, was den Diebstahl von Anmeldedaten erheblich erleichtert.

Die Funktionsweise der Coyote-Malware erinnert an Android-Banking-Trojaner, die ebenfalls die Barrierefreiheitsdienste des Betriebssystems ausnutzen, um an wertvolle Daten zu gelangen. Akamai hatte bereits im Dezember 2024 in einem Proof-of-Concept gezeigt, dass die UI-Automation für solche Zwecke missbraucht werden könnte. Diese Erkenntnisse wurden nun von der Realität eingeholt, da die Malware die GetForegroundWindow()-API von Windows verwendet, um den Titel des aktiven Fensters zu ermitteln und mit einer Liste von Zieladressen abzugleichen.

Wenn keine Übereinstimmung gefunden wird, durchsucht Coyote die UI-Elemente des Fensters, um Browser-Tabs oder Adressleisten zu identifizieren. Diese Informationen werden dann erneut mit der Liste der Zieladressen abgeglichen. Diese Methode ermöglicht es der Malware, auch im Offline-Modus effektiv zu arbeiten, was die Wahrscheinlichkeit erhöht, dass sie die Bank oder Krypto-Börse eines Opfers identifiziert und dessen Zugangsdaten stiehlt.

Die Nutzung der UI-Automation durch Coyote zeigt, wie wichtig es ist, dass Entwickler und Sicherheitsforscher ständig auf der Hut sind und neue Wege finden, um solche Angriffe zu verhindern. Ohne die UI-Automation wäre das Auslesen von Unterelementen einer Anwendung eine komplexe Aufgabe, die ein tiefes Verständnis der Zielanwendung erfordern würde. Diese Entwicklung unterstreicht die Notwendigkeit, Sicherheitsmaßnahmen kontinuierlich zu verbessern und die Schwachstellen in bestehenden Systemen zu schließen.

Die Bedrohung durch Coyote ist ein weiteres Beispiel dafür, wie Cyberkriminelle legitime Funktionen für bösartige Zwecke missbrauchen können. Es ist entscheidend, dass sowohl Unternehmen als auch Einzelpersonen wachsam bleiben und ihre Systeme regelmäßig aktualisieren, um sich gegen solche fortschrittlichen Bedrohungen zu schützen. Die Sicherheitsgemeinschaft muss weiterhin zusammenarbeiten, um innovative Lösungen zu entwickeln, die den Schutz vor solchen Angriffen gewährleisten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!