Coyote-Malware-Variante
Der Windows-Banking-Trojaner Coyote ist die erste Malware-Variante, die das Windows-Barrierefreiheits-Framework UI Automation (UIA) missbraucht, um sensible Nutzerdaten zu stehlen. Coyote wurde erstmals 2024 von Cybersicherheitsforschern entdeckt und zielt in erster Linie auf brasilianische Nutzer ab. Im Laufe der Entwicklung integriert er eine neuartige Technik, die UIA nutzt, um Anmeldeinformationen zu einer Vielzahl von Bank- und Kryptowährungsplattformen abzugreifen.
Inhaltsverzeichnis
Legitime Tools werden zu Schadprogrammen
UIA ist Teil des Microsoft .NET Frameworks und wurde ursprünglich entwickelt, um unterstützenden Technologien wie Bildschirmleseprogrammen die Interaktion mit Benutzeroberflächenelementen in Desktop-Anwendungen zu erleichtern. Seine Funktionen haben sich jedoch als zweischneidiges Schwert erwiesen. Im Dezember 2024 präsentierten Sicherheitsexperten einen Proof-of-Concept, der zeigte, dass UIA potenziell für Datendiebstahl und die Ausführung unberechtigten Codes missbraucht werden könnte.
Nun hat Coyote die Theorie in die Praxis umgesetzt. Ähnlich wie Android-Banking-Trojaner, die Barrierefreiheitsdienste missbrauchen, um vertrauliche Informationen abzugreifen, manipuliert Coyote die Benutzeroberfläche (UIA), um durch Anwendungselemente zu navigieren und wertvolle Anmeldeinformationen zu extrahieren.
Wie Coyote auf Datenjagd geht
Der Trojaner beginnt seinen Datenerfassungsprozess, indem er die Windows-API GetForegroundWindow() nutzt, um zu ermitteln, welches Fenster gerade aktiv ist. Anschließend vergleicht er den Titel dieses Fensters mit einer fest codierten Liste, die die Webadressen von 75 Zielbanken und Kryptowährungsbörsen enthält. Anfang 2025 lag die Zahl der Ziele noch bei 73.
Wenn der Fenstertitel mit keinem Eintrag in der Liste übereinstimmt, ändert Coyote die Taktik. Mithilfe von UIA durchsucht es die untergeordneten Elemente der Oberfläche des aktiven Fensters und versucht, Browser-Tabs oder Adressleisten zu finden. Der Inhalt dieser UI-Elemente wird erneut mit derselben Zielliste abgeglichen.
Erweiterte Funktionen und Stealth-Features
Coyote ist mit zusätzlichen Überwachungsfunktionen ausgestattet, darunter:
- Tastatureingabeprotokollierung zum Abfangen eingegebener Anmeldeinformationen
- Screenshot-Erfassung zur visuellen Aufzeichnung der Benutzeraktivität
- Overlay-Angriffe, die legitime Bank-Anmeldeseiten imitieren
Darüber hinaus funktioniert die Malware sowohl online als auch offline effektiv und stellt sicher, dass ihre Mechanismen zur Erfassung von Anmeldeinformationen unabhängig von der Konnektivität einsatzbereit bleiben. Diese Flexibilität erhöht ihre Persistenz und erweitert ihre Angriffsfläche.
Warum UIA für Malware-Entwickler bahnbrechend ist
Der Zugriff auf Unterelemente einer anderen Anwendung ist normalerweise komplex und erfordert ein tiefes Verständnis der Struktur der Zielsoftware. Durch die Nutzung von UIA umgeht Coyote diese Hürde und erhält mit minimalem Aufwand tiefe Einblicke in die internen UI-Komponenten von Anwendungen. Dies erhöht die Erfolgsquote beim Diebstahl von Anmeldeinformationen deutlich.
Die wachsende Bedrohung für Finanzdaten
Die Nutzung der UI-Automatisierung durch Malware wie Coyote markiert eine beunruhigende Entwicklung in der Art und Weise, wie legitime Systemfunktionen als Waffe eingesetzt werden. 75 Finanzinstitute sind bereits im Visier der Malware und die Angriffsmethodik entwickelt sich stetig weiter. Coyote unterstreicht die dringende Notwendigkeit verbesserter Überwachungs- und Abwehrmechanismen gegen den Missbrauch von Barrierefreiheits-Frameworks.
