Waspada, Malware di Windows Bisa Kuras Rekening

Pengguna Windows perlu waspada. Baru-baru ini, laporan mengungkap adanya malware baru bernama Coyote yang menyerang sistem operasi (OS) Windows dan mengincar data perbankan serta aset kripto pengguna.

Coyote sendiri masuk dalam kategori trojan perbankan berbahaya. Malware ini dirancang khusus untuk mencuri data kredensial seperti informasi login dari layanan keuangan bank atau aset digital pengguna.

Karena tujuan utamanya tersebut, serangan Coyote lebih berfokus menargetkan akun bank dan bursa kripto yang diakses korban lewat situs web (website) di perangkat Windows. 

Data-data login yang dicuri kemudian dimanfaatkan pelaku untuk mengakses dan menguras saldo rekening korban, secara diam-diam tanpa terdeteksi sistem keamanan perangkat. 

Manfaatkan fitur bawaan Windows

Firma peneliti keamanan siber, Akamai menemukan bahwa Coyote memanfaatkan fitur bawaan di perangkat Windows yang bernama Microsoft UI Automation (UIA), yang memiliki lubang keamanan.

UIA adalah kerangka kerja (framework) otomatisasi antarmuka Microsoft yang berfungsi membantu perangkat lunak berinteraksi dengan aplikasi Windows, terutama untuk keperluan aksesibilitas.

Sederhananya, fitur ini memungkinkan program untuk melihat dan membaca semua elemen pada layar. Disebutkan Akamai, beberapa elemen tersebut termasuk tombol, menu, dan alamat browser di perangkat. 

Nah, kemampuan UIA inilah yang kemudian disalahgunakan Coyote untuk menyusup dan memantau aktivitas pengguna secara diam-diam.

Tangkapan layar cara UIA Microsoft disalahgunakan untuk pencurian data kredensial pengguna.

Dengan bantuan UIA, malware Coyote dapat membaca alamat situs (URL) perbankan atau bursa kripto yang sedang dibuka pengguna melalui situs web di perangkat.

Informasi ini kemudian dicocokkan dengan daftar tetap (hardcoded) yang berisikan 75 layanan bank dan bursa kripto yang sudah ditargetkan Coyote.

Apabila alamat tersebut ada yang sesuai dengan daftar target serangan, maka Coyote akan melanjutkan aksinya dengan memeriksa elemen turunan UI (child elements) seperti tab atau address bar.

"Konten elemen UI ini kemudian akan direferensikan silang dengan daftar alamat yang sama dari perbandingan pertama," jelas laporan Akami, dikutip KompasTekno dari TechRadar, Sabtu (2/8/2025).

Setelah semua informasi berhasil terkumpul, malware akan menggunakannya untuk melakukan serangan ke akun perbankan pengguna. Tanpa diketahui atau terdeteksi oleh sistem keamanan perangkat.

Menyasar rekening bank pengguna Brasil

Menurut laporan Akamai, malware Coyote paling banyak menargetkan rekening bank milik pengguna di negara Brasil.

Beberapa bank yang menjadi sasaran serangan ini antara lain Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Original Bank, Sicredi, dan Banco do Nordeste.

Selain rekening bank, malware Coyote juga mengincar aset digital pengguna di platform bursa kripto yang populer digunakan. Contohnya seperti Bitcoin, Foxbit, Binance, Electrum, dan masih banyak lagi.

Meski serangan malware Coyote dominan terjadi di negara Brasil, metode serangan seperti ini dinilai bisa dengan mudah disesuaikan untuk menyasar pengguna di negara lain, termasuk Indonesia.

Sudah terdeteksi sejak tahun lalu

Akamai diketahui telah memperingatkan potensi penyalahgunaan fitur bawaan Windows, UIA, sejak Desember 2024 lalu. Saat itu, mereka memprediksi bahwa UIA bisa dimanfaatkan malware untuk mencuri kredensial pengguna lewat cara yang sulit dideteksi.

Dijelaskan Akamai, cara tersebut yaitu dengan menghindari Endpoint Detection and Response (EDR). Ini merupakan sistem keamanan yang biasanya mendeteksi dan merespons aktivitas mencurigakan di perangkat.

Pada Februari 2025, peringatan Akamai benar terjadi. Pihaknya melaporkan bahwa mereka telah melihat serangan yang memanfaatkan cara yang sama, yakni menggunakan malware lewat Microsoft UIA untuk pencurian data.