Nieuwe zeer veelzijdige malware duikt op in ondergrondse marktplaatsen

hacker

Onderzoekers hebben een nieuwe vorm van malware ontdekt die zeer veelzijdig is. De malware kan creditcardnummers stelen van Point-of-Sale (PoS)-systemen, data stelen uit webformulieren en op korte termijn ook inloggegevens van FTP-servers verzamelen van geïnfecteerde machines. Onderzoekers noemen de malware uniek.

De malware wordt in een blogpost beschreven door onderzoekers van het Arbor Networks Security Engineering and Response Team (ASERT). De malware wordt te koop aangeboden op ondergrondse marktplaatsen, wat waarschijnlijk ook de reden is dat de malware dusdanig uitgebreid is. De onderzoekers denken dat de ontwikkelaars hun malware hiermee zo aantrekkelijk mogelijk willen maken. De malware wordt 'Soraya' genoemd.

Diefstal bij Target

De feature die creditcardnummers kan stelen van PoS-systemen lijkt verdacht veel op de malware die is gebruikt bij de grootschalige diefstal van creditcardnummers bij de Amerikaanse winkelketen Target. Cybercriminelen sloegen rond de feestdagen van 2013 hun slag en gingen er met maar liefst 60 miljoen creditcardnummers vandaan. Net als de malware die hierbij werd gebruikt haalt Soraya creditcardnummer op uit het interne geheugen van geïnfecteerde PoS-systemen. Creditcardnummers worden hier tijdelijk opgeslagen zodra deze door de scanner worden gehaald.

Soraya kan daarnaast data uit webformulieren stelen. De malware infecteert een systeem en gaat op zoek naar de webbrowser door op zoek te gaan naar unieke DLL's zodra een nieuw proces wordt geopend. Iedere webbrowser gebruikt zo'n DLL op het moment dat webformulieren moeten worden verzonden. Deze DLL's worden vervolgens gekaapt, waarna de malware in staat is alle data die wordt ingevoerd op te slaan en naar een externe server te sturen.

Inloggegevens van FTP-servers

De feature voor het stelen van inloggegevens van FTP-servers is op dit moment nog in ontwikkeling. De feature is hierdoor nog niet volledige geïmplementeerd in Soraya, waardoor de onderzoekers geen idee hebben hoe deze functionaliteit zijn werk doet.

 
Lees ook
Terugblik met Remco Geerts van Tesorion

Terugblik met Remco Geerts van Tesorion

InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.