image

PXA-malware ontsleutelt browser master key en steelt opgeslagen wachtwoorden

donderdag 14 november 2024, 16:07 door Redactie, 5 reacties

Onderzoekers hebben nieuw infostealer-malware ontdekt die de master key van de browser ontsleutelt en vervolgens allerlei opgeslagen wachtwoorden, cookies en andere gegevens steelt en terugstuurt naar de aanvallers. Dat laat Cisco vandaag weten. De PXA Stealer is ontwikkeld om allerlei inloggegevens van het besmette systeem te stelen. Het gaat onder andere om inloggegevens voor wachtwoordmanagers, cryptowallets, chatapplicaties zoals Signal en Telegram, vpn- en ftp-clients en gamingapplicaties zoals Steam en Epic Games.

Voor de opslag van wachtwoorden bieden browsers een ingebouwde wachtwoordmanager. Chromium-gebaseerde browsers zoals Google Chrome maken gebruik van de 'browser master key', een encryptiesleutel voor het beschermen van opgeslagen inloggegevens. Zodra de malware toegang tot het systeem heeft benadert die het master key-bestand in de browserfolder van de gebruiker. Dit bestand bevat informatie over de encryptiesleutel gebruikt om de opgeslagen inloggegevens te versleutelen.

Vervolgens ontsleutelt de malware de gebruikersdata en krijgt zo toegang tot de opslagen inloggegevens. Naast Chromium-gebaseerde browsers probeert de malware ook de master key van Firefox te ontsleutelen. Voor de verspreiding van de malware wordt gebruikgemaakt van phishingmails voorzien van een zip-bestand. Dit bestand bevat een exe-bestand of batch-script dat de infostealer op het systeem downloadt en een onschuldig pdf-document als afleidingsmanoeuvre laat zien.

Een aantal van de grootste datalekken dit jaar zijn volgens securitybedrijf Mandiant veroorzaakt door infostealers, waarmee aanvallers inloggegevens voor de Snowflake-cloudomgevingen van allerlei organisaties kregen. Vervolgens kon er allerlei gevoelige informatie worden gestolen. Onder andere Ticketmaster werd slachtoffer, waar de gegevens van 560 miljoen mensen zouden zijn gestolen.

Image

Reacties (5)
Vandaag, 16:23 door Anoniem
Passwords in een browser...
Zucht...
Vandaag, 16:40 door Anoniem
Door Anoniem: Passwords in een browser...
Zucht...
Kijk even goed naar de afbeelding: die heeft een kopje "Password Managers", en daar staan er heel wat onder.
Vandaag, 16:45 door Anoniem
Door Anoniem: Passwords in een browser...
Zucht...
Inderdaad ja... Het is niet handig om het door de webbrowser te laten opslaan, het is veel beter een offline password manager met versleutelde database te gebruiken en 2FA of HW keys waar mogelijk.
Vandaag, 16:51 door Anoniem
Door Anoniem: Passwords in een browser...
Zucht...

Als je de afbeelding opent zie je dat ze ook password managers aanvallen.
Vandaag, 17:29 door Anoniem
Stel sla mijn wachtwoorden staan opgeslagen in een bestand op mijn bureaublad met de naam 'taart recept.txt' en alle wachtwoorden zijn variaties op woorden zoals 'bloem', 'boter', etc. Dat is dan toch een effectieve manier om dit soort infostealers te misleiden?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.