Malware Coyote Serang Pengguna via Fitur Aksesibilitas Windows

Sebuah varian baru dari malware perbankan bernama Coyote telah menjadi perbincangan hangat di kalangan pakar keamanan siber. Bukan tanpa alasan, malware ini kini tercatat sebagai yang pertama kali berhasil menyalahgunakan fitur legal sistem operasi Windows, yakni UI Automation (UIA), untuk mencuri informasi sensitif seperti kredensial login perbankan dan akun kripto.

Dalam laporan terbaru dari Akamai Technologies, seorang peneliti keamanan bernama Tomer Peled mengungkap bahwa varian terbaru Coyote saat ini menargetkan pengguna di Brasil, dan menyasar 75 situs bank serta platform cryptocurrency. Malware ini memanfaatkan fitur aksesibilitas UIA milik Windows untuk mengekstrak data dari antarmuka pengguna yang aktif.

"Varian baru Coyote menargetkan pengguna di Brasil, dan menggunakan UIA untuk mengambil kredensial yang berkaitan dengan 75 alamat web bank dan platform kripto," jelas Peled.

Sejarah dan Evolusi Malware Coyote

Coyote pertama kali ditemukan oleh Kaspersky pada tahun 2024 dan sejak awal memang dirancang untuk menyerang pengguna di Brasil, negara yang memang kerap menjadi sasaran empuk bagi pelaku serangan siber, terutama serangan jenis trojan perbankan.

Malware ini dikenal memiliki kemampuan multifungsi, antara lain:

• Merekam ketikan (keylogger)
• Mengambil tangkapan layar diam-diam
• Menampilkan overlay antarmuka palsu di atas halaman login bank

Namun, yang paling mencolok dari varian terbaru ini adalah bagaimana Coyote mampu mengakses struktur halaman dan elemen UI aplikasi lain dengan sangat mendalam, berkat pemanfaatan fitur UI Automation.

 
Apa Itu UI Automation?

UI Automation (UIA) adalah bagian dari Microsoft .NET Framework, dirancang untuk membantu pengguna berkebutuhan khusus dalam mengoperasikan komputer. Fitur ini memungkinkan aplikasi seperti screen reader membaca elemen-elemen UI seperti tombol, kotak teks, hingga menu dropdown secara otomatis.

Dalam kondisi normal, UIA adalah fitur legal dan sangat berguna bagi aksesibilitas. Namun seperti pisau bermata dua, fitur ini kini justru dimanfaatkan oleh malware seperti Coyote untuk melakukan aksi kejahatan siber.

Sudah sejak Desember 2024, tim peneliti dari Akamai pernah mendemonstrasikan potensi penyalahgunaan UIA melalui uji coba konsep (proof-of-concept). Dan kini, Coyote berhasil mewujudkannya dalam dunia nyata.

 
Cara Kerja Coyote: Mirip dengan Malware Android

Menariknya, pola serangan yang digunakan Coyote mirip dengan malware perbankan di Android, yang juga kerap menyalahgunakan fitur aksesibilitas untuk membaca dan mencuri data pengguna.

Berikut adalah alur cara kerja Coyote berdasarkan laporan Akamai:

• Mengidentifikasi Window Aktif
  Malware ini pertama-tama memanggil fungsi GetForegroundWindow() dari Windows API untuk mengetahui window mana yang sedang aktif di layar pengguna.

• Membandingkan Judul Window
  Judul window yang aktif kemudian dibandingkan dengan daftar situs bank dan kripto yang telah diprogram sebelumnya. Jika ada kecocokan, malware langsung aktif untuk mengekstrak informasi.

• Mengakses Elemen UIA Jika Tak Ada Kecocokan
  Jika tidak ada kecocokan dari judul window, Coyote akan memanfaatkan UIA untuk menganalisis elemen-elemen dalam window tersebut, seperti tab browser atau bilah alamat.

• Bandingkan Ulang dengan Daftar Target
  Isi dari elemen-elemen UI tersebut kemudian dibandingkan kembali dengan daftar target, guna memastikan apakah halaman yang dibuka mengarah ke situs bank atau kripto.
   

Target Terus Bertambah

Saat pertama kali diidentifikasi oleh Fortinet FortiGuard Labs pada Januari 2025, malware ini diketahui menyasar 73 institusi keuangan. Namun varian terbaru kini telah meningkat targetnya menjadi 75 institusi.

Peningkatan ini menunjukkan bahwa pengembang malware terus memperluas cakupan target, serta melakukan perbaikan fitur secara bertahap untuk memaksimalkan keberhasilan pencurian data.

 
Kenapa Penyalahgunaan UIA Sangat Berbahaya?

Penggunaan UIA oleh malware Coyote membuatnya sangat sulit dideteksi, bahkan oleh sistem antivirus canggih sekalipun. Hal ini karena:

• UIA adalah fitur legal dan sah dari Windows, sehingga tidak dicurigai secara default oleh program keamanan.
• Malware tidak perlu melakukan injeksi kode atau teknik hacking lainnya, karena cukup “mengintip” menggunakan fungsi sah Windows.
• Coyote bisa bekerja secara offline, sehingga pencurian data bisa tetap terjadi meski perangkat tidak tersambung ke internet.

Dengan demikian, penyalahgunaan aksesibilitas ini menunjukkan adanya tren baru dalam evolusi malware, di mana pelaku siber kini mengandalkan fitur sistem operasi itu sendiri alih-alih membuat kode eksploitasi yang kompleks.

 
Upaya Perlindungan: Apa yang Bisa Dilakukan Pengguna?

Bagi pengguna komputer khususnya mereka yang berada di Brasil perlu untuk meningkatkan kewaspadaan terhadap serangan Coyote, mengingat cara kerjanya sangat licik dan hampir tidak terlihat. Berikut beberapa langkah yang disarankan:

• Hindari mengunduh software dari sumber tak dikenal
• Perbarui sistem operasi dan antivirus secara rutin
• Pantau aktivitas mencurigakan di browser, seperti halaman login yang tampak berbeda dari biasanya
• Batasi akses aplikasi terhadap fitur aksesibilitas, jika memang tidak diperlukan
• Gunakan solusi keamanan siber yang mendukung pemantauan aksesibilitas, terutama bagi institusi keuangan

Varian terbaru dari malware Coyote menjadi peringatan keras bagi seluruh pengguna Windows, bahwa fitur-fitur sah yang dibuat untuk membantu justru bisa disalahgunakan untuk mencuri.

Penggunaan UIA oleh Coyote menandai era baru dalam kejahatan siber, di mana batas antara fungsi legal dan aktivitas berbahaya semakin kabur. Oleh karena itu, edukasi, kewaspadaan, dan sistem keamanan yang kuat menjadi kunci utama dalam menghadapi gelombang malware yang kian canggih ini.