Onderzoekers hebben nieuw infostealer-malware ontdekt die de master key van de browser ontsleutelt en vervolgens allerlei opgeslagen wachtwoorden, cookies en andere gegevens steelt en terugstuurt naar de aanvallers. Dat laat Cisco vandaag weten. De PXA Stealer is ontwikkeld om allerlei inloggegevens van het besmette systeem te stelen. Het gaat onder andere om inloggegevens voor wachtwoordmanagers, cryptowallets, chatapplicaties zoals Signal en Telegram, vpn- en ftp-clients en gamingapplicaties zoals Steam en Epic Games.

Voor de opslag van wachtwoorden bieden browsers een ingebouwde wachtwoordmanager. Chromium-gebaseerde browsers zoals Google Chrome maken gebruik van de 'browser master key', een encryptiesleutel voor het beschermen van opgeslagen inloggegevens. Zodra de malware toegang tot het systeem heeft benadert die het master key-bestand in de browserfolder van de gebruiker. Dit bestand bevat informatie over de encryptiesleutel gebruikt om de opgeslagen inloggegevens te versleutelen.

Vervolgens ontsleutelt de malware de gebruikersdata en krijgt zo toegang tot de opslagen inloggegevens. Naast Chromium-gebaseerde browsers probeert de malware ook de master key van Firefox te ontsleutelen. Voor de verspreiding van de malware wordt gebruikgemaakt van phishingmails voorzien van een zip-bestand. Dit bestand bevat een exe-bestand of batch-script dat de infostealer op het systeem downloadt en een onschuldig pdf-document als afleidingsmanoeuvre laat zien.

Een aantal van de grootste datalekken dit jaar zijn volgens securitybedrijf Mandiant veroorzaakt door infostealers, waarmee aanvallers inloggegevens voor de Snowflake-cloudomgevingen van allerlei organisaties kregen. Vervolgens kon er allerlei gevoelige informatie worden gestolen. Onder andere Ticketmaster werd slachtoffer, waar de gegevens van 560 miljoen mensen zouden zijn gestolen.