Nieuwe zeer veelzijdige malware duikt op in ondergrondse marktplaatsen
Onderzoekers hebben een nieuwe vorm van malware ontdekt die zeer veelzijdig is. De malware kan creditcardnummers stelen van Point-of-Sale (PoS)-systemen, data stelen uit webformulieren en op korte termijn ook inloggegevens van FTP-servers verzamelen van geïnfecteerde machines. Onderzoekers noemen de malware uniek.
De malware wordt in een blogpost beschreven door onderzoekers van het Arbor Networks Security Engineering and Response Team (ASERT). De malware wordt te koop aangeboden op ondergrondse marktplaatsen, wat waarschijnlijk ook de reden is dat de malware dusdanig uitgebreid is. De onderzoekers denken dat de ontwikkelaars hun malware hiermee zo aantrekkelijk mogelijk willen maken. De malware wordt 'Soraya' genoemd.
Diefstal bij Target
De feature die creditcardnummers kan stelen van PoS-systemen lijkt verdacht veel op de malware die is gebruikt bij de grootschalige diefstal van creditcardnummers bij de Amerikaanse winkelketen Target. Cybercriminelen sloegen rond de feestdagen van 2013 hun slag en gingen er met maar liefst 60 miljoen creditcardnummers vandaan. Net als de malware die hierbij werd gebruikt haalt Soraya creditcardnummer op uit het interne geheugen van geïnfecteerde PoS-systemen. Creditcardnummers worden hier tijdelijk opgeslagen zodra deze door de scanner worden gehaald.
Soraya kan daarnaast data uit webformulieren stelen. De malware infecteert een systeem en gaat op zoek naar de webbrowser door op zoek te gaan naar unieke DLL's zodra een nieuw proces wordt geopend. Iedere webbrowser gebruikt zo'n DLL op het moment dat webformulieren moeten worden verzonden. Deze DLL's worden vervolgens gekaapt, waarna de malware in staat is alle data die wordt ingevoerd op te slaan en naar een externe server te sturen.
Inloggegevens van FTP-servers
De feature voor het stelen van inloggegevens van FTP-servers is op dit moment nog in ontwikkeling. De feature is hierdoor nog niet volledige geïmplementeerd in Soraya, waardoor de onderzoekers geen idee hebben hoe deze functionaliteit zijn werk doet.
Meer over
Lees ook
Miljoenen berichten verspreiden LockBit 3.0
Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.
ESET Threat Intelligence verbetert cybersecurity-inzicht door integratie met Elastic Security
ESET heeft een nieuw partnerschap en integratie aangekondigd, dankzij zijn uniforme API-gateway. Deze ontwikkeling faciliteert naadloze verbindingen met verschillende leveranciers van cybersecurity, zoals de recente integratie met Elastic, een search-powered AI-bedrijf.
Denk aan een sterk wachtwoord op World Password Day 2024
Wachtwoorden zijn een van de eerste kritieke barrières tussen een persoon, een dreigingsactor en een succesvolle cyberaanval. Een veelvoorkomende fout die mensen maken is het gebruik van steeds dezelfde loginnaam of hetzelfde e-mailadres en wachtwoord