k0to-Malware: Infosstealer mit Chrome-Bypass und 7 UAC-Tricks
26.06.2026 - 16:04:00 | boerse-global.de
Das in der Programmiersprache Rust geschriebene Schadprogramm wurde kürzlich in „k0to" umbenannt und mit deutlich verbesserten Tarnfähigkeiten ausgestattet.
Vom Experiment zur professionellen Cyberwaffe
KuinaExtractor tauchte erstmals im Dezember 2025 in der Bedrohungslandschaft auf. Seitdem durchlief die Malware vier verschiedene Entwicklungsphasen. Analysten von ThreatRay beschreiben das Projekt als ursprüngliches Experiment, das sich zu einer ausgereiften Cyberwaffe entwickelte.
Am 17. Juni 2026 erfolgte die offizielle Umbenennung in k0to. Mit dem neuen Namen kamen auch technische Verbesserungen: Die Entwickler implementierten XOR-Verschlüsselung und setzen auf benutzerdefinierte Zertifikatsstrukturen, um die Erkennung durch Sicherheitssoftware zu erschweren.
Hochmoderne Tarn- und Stehltechniken
Die Malware zielt auf eine breite Palette sensibler Daten ab. Im Fokus stehen Browserdaten, Kryptowährungs-Wallets sowie Zugangsdaten für Gaming- und Social-Media-Plattformen wie Roblox, Steam und Discord.
Die k0to-Malware nutzt sieben verschiedene Methoden, um die Windows-Benutzerkontensteuerung zu umgehen – und stiehlt dabei verschlüsselte Browserdaten. Dieser Report zeigt Ihnen, wie Sie Ihr Unternehmen mit konkreten Härtungs-Schritten schützen. Jetzt kostenlosen Schutz-Report anfordern
Besonders raffiniert: Die aktuelle k0to-Version enthält einen sogenannten Chrome-Anti-Binding-Bypass. Diese Technik erlaubt es der Malware, sich als legitimer Windows-Prozess auszugeben und verschlüsselte Browserdaten zu stehlen. Für die Rechteausweitung nutzt das Schadprogramm gleich sieben verschiedene Methoden, um die Windows-Benutzerkontensteuerung (UAC) zu umgehen.
Die gestohlenen Daten werden über die Telegram-Infrastruktur abtransportiert – ein bei Cyberkriminellen beliebter Kanal. Zudem verfügt k0to über Sandbox-Erkennungsmechanismen: Läuft die Malware in einer virtuellen Umgebung, stellt sie ihre Aktivitäten ein, um einer Analyse zu entgehen.
Hintergründe und Infrastruktur
Die Analyse des Codes und der Betriebsmuster deutet auf einen vietnamesischsprachigen Entwickler hin. In technischen Berichten wird er unter dem Handle kuina1999 geführt. Zur Verbreitung der Malware kommt häufig GitHub zum Einsatz.
Infostealer wie k0to tarnen sich als legitime Windows-Prozesse und exfiltrieren Daten über Telegram. Ohne gezielte Erkennungsmaßnahmen bleibt die Malware unsichtbar. Erhalten Sie eine Checkliste mit 5 Erkennungsmerkmalen und eine Tool-Liste zur Sandbox-Erkennung. k0to-Erkennungs-Checkliste jetzt sichern
Neben dem Hauptprogramm arbeitet der Entwickler an Nebenprojekten wie KuinaCookieExtractor und einem Tool namens Zenith. Als Indikatoren für aktuelle Kampagnen gelten ein spezifischer Mutex sowie die IP-Adresse 103.229.53.18.
Die Entwicklung von KuinaExtractor zu k0to zeigt einen klaren Trend: Immer mehr Angreifer setzen auf Rust. Die Sprache bietet hohe Leistung und erschwert traditionelle Reverse-Engineering-Werkzeuge erheblich. Sicherheitsteams sollten die genannten Erkennungsmerkmale genau im Auge behalten – der Betreiber verfeinert die Tarnfähigkeiten der Malware kontinuierlich weiter.
