Nieuwe zeer veelzijdige malware duikt op in ondergrondse marktplaatsen
Onderzoekers hebben een nieuwe vorm van malware ontdekt die zeer veelzijdig is. De malware kan creditcardnummers stelen van Point-of-Sale (PoS)-systemen, data stelen uit webformulieren en op korte termijn ook inloggegevens van FTP-servers verzamelen van geïnfecteerde machines. Onderzoekers noemen de malware uniek.
De malware wordt in een blogpost beschreven door onderzoekers van het Arbor Networks Security Engineering and Response Team (ASERT). De malware wordt te koop aangeboden op ondergrondse marktplaatsen, wat waarschijnlijk ook de reden is dat de malware dusdanig uitgebreid is. De onderzoekers denken dat de ontwikkelaars hun malware hiermee zo aantrekkelijk mogelijk willen maken. De malware wordt 'Soraya' genoemd.
Diefstal bij Target
De feature die creditcardnummers kan stelen van PoS-systemen lijkt verdacht veel op de malware die is gebruikt bij de grootschalige diefstal van creditcardnummers bij de Amerikaanse winkelketen Target. Cybercriminelen sloegen rond de feestdagen van 2013 hun slag en gingen er met maar liefst 60 miljoen creditcardnummers vandaan. Net als de malware die hierbij werd gebruikt haalt Soraya creditcardnummer op uit het interne geheugen van geïnfecteerde PoS-systemen. Creditcardnummers worden hier tijdelijk opgeslagen zodra deze door de scanner worden gehaald.
Soraya kan daarnaast data uit webformulieren stelen. De malware infecteert een systeem en gaat op zoek naar de webbrowser door op zoek te gaan naar unieke DLL's zodra een nieuw proces wordt geopend. Iedere webbrowser gebruikt zo'n DLL op het moment dat webformulieren moeten worden verzonden. Deze DLL's worden vervolgens gekaapt, waarna de malware in staat is alle data die wordt ingevoerd op te slaan en naar een externe server te sturen.
Inloggegevens van FTP-servers
De feature voor het stelen van inloggegevens van FTP-servers is op dit moment nog in ontwikkeling. De feature is hierdoor nog niet volledige geïmplementeerd in Soraya, waardoor de onderzoekers geen idee hebben hoe deze functionaliteit zijn werk doet.
Meer over
Lees ook
Klarrio ontdekt grootschalig malware-netwerk op GitHub
Het is al langer bekend dat er door middel van gekloonde Open-Source GitHub repositories pogingen gedaan worden om malware te installeren voor nietsvermoedende gebruikers. Maar de schaal waarop dit plaatsvindt wordt dankzij het onderzoek door Bruno De Bus nu duidelijk
Jamf Security 360-rapport 2025
Jamf, de standaard in het beheren en beveiligen van Apple in werkomgevingen, heeft zijn jaarlijkse Security 360-rapport uitgebracht, met aparte analyses voor mobiele (iOS en Android) en macOS-omgevingen. Het rapport belicht de risico's waar organisaties mee te maken hebben en biedt inzichten voor securityleiders
Proofpoint sluit zich aan bij Wiz Integration Network (WIN) voor sterkere Cloud Data Security
Proofpoint, Inc., kondigt de algemene beschikbaarheid van een integratie tussen zijn Data Security Posture Management (DSPM)-oplossing en Wiz, een leider in cloudsecurity. Proofpoint DSPM en Wiz’s Cloud Native Application Protection Platform vullen elkaar naadloos aan.