Cybersecurity-Experten haben eine besorgniserregende Weiterentwicklung des Banking-Trojaners Coyote dokumentiert, der nun Microsoft UI Automation (UIA) zur Identifizierung und Kompromittierung von Banking- und Kryptowährungs-Plattformen einsetzt. Diese innovative Angriffsmethode stellt einen Paradigmenwechsel in der Finanzmalware dar, da sie legitime Betriebssystemfunktionen ausnutzt, die ursprünglich für Barrierefreiheit entwickelt wurden.
Microsoft UI Automation als Angriffswerkzeug verstehen
Microsoft UI Automation fungiert als programmatische Schnittstelle, die assistive Technologien mit Windows-Anwendungselementen verbindet. Das Framework ermöglicht es, Eigenschaften von Interface-Elementen zu lesen, diese zu steuern und Änderungen in Echtzeit zu überwachen. Anwendungen werden als hierarchische UI Automation-Bäume dargestellt, wodurch die API Inhalte durchsuchen, detaillierte Elementinformationen abrufen und Benutzeraktionen simulieren kann.
Diese Technologie wurde ursprünglich entwickelt, um Menschen mit Behinderungen vollständigen Zugang zu Gerätefunktionen zu gewähren. Cyberkriminelle haben jedoch erkannt, dass diese legitimen Funktionen für bösartige Zwecke umfunktioniert werden können.
Expertenwarnungen werden zur Realität
Akamai-Sicherheitsforscher hatten bereits im Dezember 2024 vor den potenziellen Risiken der UIA-Nutzung für Credential Theft gewarnt. Die Experten betonten, dass diese Technik EDR-Schutzmechanismen in allen Windows-Versionen ab Windows XP umgehen könne.
Diese Vorhersagen materialisierten sich im Februar 2025, als die ersten dokumentierten Angriffe unter Verwendung dieser Methodik beobachtet wurden. Coyote etablierte sich als erste bekannte Malware, die Microsoft UIA-Funktionen für den Diebstahl sensibler Daten missbraucht.
Technische Evolution des Coyote Banking-Trojaners
Der Coyote Banking-Trojaner wurde erstmals im Februar 2024 identifiziert und zielte ursprünglich auf 75 Banking- und Kryptowährungs-Anwendungen ab, primär mit Fokus auf brasilianische Nutzer. Die initiale Version verwendete konventionelle Angriffsmethoden wie Keylogging und Phishing-Overlays.
Die aktuelle Coyote-Iteration behält traditionelle Angriffsvektoren bei, wurde jedoch um UIA-Exploitationsfähigkeiten erweitert. Diese Funktionen aktivieren sich automatisch, wenn Benutzer Banking- oder Kryptowährungs-Services in Browsern öffnen.
Detaillierte Angriffsmechanismen
Wenn Coyote Zielobjekte nicht über Fenstertitel identifizieren kann, nutzt es UIA zur Extraktion von Web-Adressen aus Browser-Interface-Elementen, einschließlich Tabs und Adressleisten. Die gewonnenen Daten werden mit einer hardcodierten Liste von 75 Finanzdienstleistern abgeglichen.
Zu den primären Zielen gehören Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original Bank und Sicredi sowie Kryptowährungs-Plattformen wie Binance, Electrum, Bitcoin und Foxbit.
Zukünftige Bedrohungsentwicklung und Implikationen
Obwohl der aktuelle UIA-Missbrauch auf die Reconnaissance-Phase beschränkt ist, haben Akamai-Forscher demonstriert, dass diese Technologie für direkten Credential-Diebstahl von Zielwebsites verwendet werden kann.
Sicherheitsexperten erklären: „Das Parsen verschachtelter Elemente anderer Anwendungen ohne UIA stellt eine nichttriviale Herausforderung dar. Für effektives Lesen verschachtelter Elementinhalte muss ein Entwickler die Architektur spezifischer Zielanwendungen tiefgreifend verstehen“.
Der Vorteil der UIA-Nutzung liegt darin, dass Coyote Überprüfungen unabhängig vom Betriebsmodus (online oder offline) durchführen kann, was die Erfolgswahrscheinlichkeit bei der Identifizierung von Banking- und Kryptowährungs-Plattformen erheblich steigert.
Diese Entwicklung erinnert an das Missbrauchsproblem der Accessibility Services in Android-Betriebssystemen, das bereits massive Ausmaße erreicht hat. Das Aufkommen ähnlicher Techniken in Windows-Umgebungen erfordert sofortige Aufmerksamkeit von Cybersecurity-Spezialisten und die Entwicklung entsprechender Abwehrmechanismen zur Verhinderung weiterer Verbreitung solcher Bedrohungen. Organisationen sollten ihre Sicherheitsstrategien überdenken und proaktive Maßnahmen implementieren, um sich gegen diese innovativen Angriffstechniken zu wappnen.
