Coyote Malware Gunakan Fitur Aksesibilitas Windows untuk Curi Data
Peneliti keamanan menemukan varian malware baru bernama Coyote yang memanfaatkan kerangka kerja aksesibilitas Windows (Windows Accessibility Framework) untuk mencuri data dari sistem yang terinfeksi. Teknik ini memungkinkan pelaku mengakses aplikasi lain secara diam-diam tanpa perlu izin administratif tinggi, menjadikan Coyote ancaman serius bagi lingkungan Windows modern.
Teknik Eksploitasi Melalui UI Automation
Coyote menggunakan fitur UI Automation, bagian dari sistem aksesibilitas Windows yang dirancang untuk membantu pengguna dengan disabilitas berinteraksi dengan aplikasi. Namun, fitur ini disalahgunakan oleh malware untuk:
- Mengakses data dari aplikasi aktif (browser, email client, dll)
- Menyadap input dan output teks
- Menyusupi sesi pengguna tanpa memicu peringatan sistem keamanan
Dengan cara ini, malware dapat membaca data sensitif seperti isi email, pesan chat, dan bahkan kredensial yang ditampilkan di layar, tanpa perlu mengeksekusi kode injeksi klasik atau eksploitasi memori.
Distribusi dan Target
Coyote terdeteksi didistribusikan melalui phishing email dan unduhan software bajakan, menyasar sistem Windows 10 dan 11. Meskipun belum dikaitkan langsung dengan aktor APT tertentu, pola serangan menunjukkan pendekatan tingkat lanjut dan pemahaman mendalam terhadap arsitektur sistem Windows.
Target utama mencakup:
- Pengguna bisnis dan korporat
- Institusi pendidikan
- Layanan profesional yang menangani data sensitif
Malware ini bekerja secara fileless, berjalan di memori dan menghapus jejak setelah selesai beroperasi, menyulitkan deteksi melalui metode tradisional.
Rekomendasi Pencegahan
Untuk mengurangi risiko infeksi Coyote, pakar keamanan menyarankan:
- Batasi izin akses aplikasi ke kerangka kerja aksesibilitas
- Gunakan endpoint security yang mendeteksi aktivitas UI abnormal
- Nonaktifkan fitur aksesibilitas jika tidak digunakan di lingkungan perusahaan
- Selalu perbarui sistem operasi dan aplikasi secara rutin
- Waspadai lampiran dan tautan dari email mencurigakan
Microsoft belum mengeluarkan patch khusus karena teknik ini menggunakan fitur yang sah, namun kemungkinan akan ada pembaruan mitigasi jika penyalahgunaan makin meluas.
Sumber: Coyote malware abuses Windows accessibility framework for data theft
