PXA-infostealer steelt opgeslagen browsergegevens door masterkey te ontcijferen

Beveiligingsonderzoekers van Cisco Talos hebben PXA Stealer ontdekt, een nieuwe soort malware. Deze infostealer is in staat om het masterwachtwoord van de browser van een getroffen gebruiker te ontcijferen, om vervolgens opgeslagen gegevens te stelen.

Cisco Talos schrijft in een blogpost dat malafide partijen PXA Stealer verspreiden als zipbestand via phishingmails. Dit archief bevat een sollicitatieformulier in pdf, alsook een schadelijk .exe-bestand dat in Rust is geschreven. Laatstgenoemde laadt verschillende weggemoffelde batchscripts om de Python-gebaseerde malware te downloaden en toont het voorgenoemde pdf-document ter afleiding.

Eenmaal genesteld in het systeem van de gebruiker begint PXA de masterkey van de browser te ontsleutelen. Dat is een cryptografische sleutel die door Google Chrome en andere Chromium-browsers wordt gebruikt om gevoelige informatie te beschermen, zoals opgeslagen wachtwoorden, cookies of betaalgegevens. Cisco Talos stelt vast dat de malafide software ook het masterpassword van Firefox en sommige andere Mozilla-browsers probeert te decoderen.

Na het kraken van het wachtwoord steelt PXA niet alleen beschermde data zoals inlog- en betaalgegevens, maar ook cookies. Daarnaast stelt Cisco Talos dat de malware specifiek zoekt naar gegevens van cryptowallets, wachtwoordmanagers en diensten zoals Steam, Epic Games, Discord, Signal en Telegram.

Het cybersecuritybedrijf stelt vast dat de malware afkomstig is van een hackersgroep die Vietnamees spreekt, maar weet niet precies om wie het gaat. Volgens telemetriegegevens van Talos richten de aanvallers zich op de onderwijssector in India en overheidsorganisaties in Europese landen, waaronder Zweden en Denemarken.

PXA Stealer

Door Idriz Velghe

Redacteur

Feedback • 15-11-2024 18:13
27 • submitter: wildhagen

15-11-2024 • 18:13

27

Submitter: wildhagen

Lees meer

Mozilla rolt nieuwe huisstijl definitief uit
Mozilla rolt nieuwe huisstijl definitief uit Nieuws van 5 december 2024
ESET ontdekt cyberspionagemalware WolfsBane voor Linux
ESET ontdekt cyberspionagemalware WolfsBane voor Linux Nieuws van 22 november 2024
FBI verwijderde malware van Nederlandse iot-apparaten in Chinees botnet
FBI verwijderde malware van Nederlandse iot-apparaten in Chinees botnet Nieuws van 14 november 2024
Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden
Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden Nieuws van 12 november 2024
Hack op Nederlandse politie vermoedelijk uitgevoerd via gestolen cookies
Hack op Nederlandse politie vermoedelijk uitgevoerd via gestolen cookies Nieuws van 8 november 2024
Politiediensten delen meer details over ontmantelen Redline- en Meta-malware
Politiediensten delen meer details over ontmantelen Redline- en Meta-malware Nieuws van 29 oktober 2024
Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline
Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline Nieuws van 28 oktober 2024
Australisch cyberagentschap waarschuwt voor opkomende 'infostealer'-malware
Australisch cyberagentschap waarschuwt voor opkomende 'infostealer'-malware Nieuws van 3 september 2024
Nederland levert Oekraïense verdachte achter Raccoon Infostealer uit aan VS
Nederland levert Oekraïense verdachte achter Raccoon Infostealer uit aan VS Nieuws van 19 februari 2024
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Cybersecurity Hackers Malware Wachtwoord

Reacties (27)

-Moderatie-faq
27
27
18
0
0
8
Wijzig sortering

Sorteer op:

Weergave:
fuse.core 15 november 2024 19:08
"Laatstgenoemde laadt verschillende weggemoffelde batch-scripts om de Python-gebaseerde malware te downloaden en toont het voorgenoemde pdf-document ter afleiding"
Maar dus alleen wanneer de .exe uitgevoerd wordt dus? En niet een probleem met het openen van de .zip of de .pdf?
Trappen mensen daar nog in? Je voert toch geen .exe uit van onbekende bron in je email?
edit: ik vergeet dat default het formaat van .exe zelfs niet meer getoond wordt in windows...

[Reactie gewijzigd door fuse.core op 15 november 2024 19:09]

Orangelights23 @fuse.core15 november 2024 20:11
Het feit dat je je afvraagt of mensen daar nog intrappen, laat zien dat je helemaal geen idee hebt hoe een gemiddeld iemand een pc gebruikt. Ook wij Tweakers kunnen hierin trappen, en zelfs security specialisten. Een goede vriend van mij, cyber security professor aan een Amerikaanse universiteit, is een aantal jaar geleden gezakt voor een phishingtest bij een voormalig werkgever. Mocht gelijk de boel inpakken.
sympa @Orangelights2316 november 2024 09:40
Dat is wel treurig als dat tot ontslag leidt. Want: regeltjes controleren kan je beter laten doen door computers dan door mensen.
Orangelights23 @sympa16 november 2024 09:59
Klopt, maar VS dus je hebt bijna geen rechten als medewerker.
Bor Coördinator Frontpage Admins / FP Powermod
@fuse.core15 november 2024 19:18
Een uitvoerbaar bestand met malware venom je doorgaans als wat anders. Daar zijn meerdere methoden voor. Ander alternatief is social engineering waarbij je de user toch beweegt een executable bestand uit te voeren.
Verwijderd @fuse.core15 november 2024 19:35
In een artikel over malware zie je het natuurlijk meteen.

Tijdens een drukke dag op het werk, eventueel met zorgen over een doodziek familielid?

Iedereen heeft momenten waarop men minder alert is op dit soort zaken. Een mens kan nu eenmaal niet multitasken.
Robinio010 @fuse.core15 november 2024 19:39
Niet zo lang geleden kwam ik op Google (via de Ads) nog op een site van de Arc. Omdat het via Adwords was, ga je er vanzelf vanuit dat het betrouwbaar is. Het is dat de installer er alsnog verdacht uit zag toen ik hem gedownload had.
Maar mensen trappen daar dus in.

Buiten dat het dus zelfs door de Google Adwords controle heen kon komen.
Ricco02 15 november 2024 18:35
Een nieuw soort malware? Dus zoiets is nog nooit eerder gedaan of ontdekt?
themadone @Ricco0215 november 2024 18:38
Het op de cliënt decrypten van dit soort sleutels had ik nog niet eerder gehoord, het stelen van sleutels en dan zelf kraken en daarna gebruiken is redelijk gebruikelijk.

Wel slim bedacht, heb je zelf 0 rekenpower nodig.
Bor Coördinator Frontpage Admins / FP Powermod
@themadone15 november 2024 19:15
Het op de cliënt decrypten van dit soort sleutels had ik nog niet eerder gehoord, het stelen van sleutels en dan zelf kraken en daarna gebruiken is redelijk gebruikelijk.
Dat hoeft ook niet altijd. Je steelt de info uit het geheugen wanneer dit decrypted is. Dat kan mogelijk / waarschijnlijk gewoon onder de rechten van de user. Info steelers stelen veelvuldig decrypted aanwezige informatie.
Bor Coördinator Frontpage Admins / FP Powermod
@Ricco0215 november 2024 18:40
Beide gevallen kunnen waar zijn. In feite is elke iteratie van malware een nieuw stuk malware.
YGDRASSIL @Bor15 november 2024 18:53
Er staat een 'nieuwe soort'. Dus het moet wel significant anders zijn en niet een simpele iteratie.
sebastiaanl 16 november 2024 07:24
Werkt dit net zo goed op mobiele devices?
rwielinga @sebastiaanl16 november 2024 13:39
Deze methode gebruikt een .exe bestand. Als jouw device daar niet mee overweg kan, is dat device niet kwetsbaar.
blorf @rwielinga16 november 2024 16:51
Een van de meeste belachelijke Windows-gewoonte's ooit: een onbekende executable permissies geven om omdat een niet-admin gebruiker daarmee akkoord gaat. Het hebben van de fysieke muis-invoer zou geen criterium moeten zijn maar de ingestelde gebruikers-permissies.
StCreed @blorf17 november 2024 11:44
Yep. Dat was al duidelijk in 1990, maar dat memo hebben ze in de VS nooit ontvangen. Not invented here...
blorf @StCreed17 november 2024 14:49
Volgens mij is het moedwillig een onveilige situatie opwerpen om er een markt van te maken. Ze willen niet dat de gebruiker alles zelf kan bepalen want dan wordt alles te veilig.
desalniettemin @sebastiaanl16 november 2024 09:43
Goeie vraag.
desalniettemin 15 november 2024 19:41
Schakel ik altijd meteen uit. Ik gebruik Bitwarden extensie met een passphrase ipv een wachtwoord.
Of gaat dit niet over het master wachtwoord in browser wachtwoord managers?

[Reactie gewijzigd door desalniettemin op 15 november 2024 19:48]

barbarbar @desalniettemin15 november 2024 20:08
Deels. Aan de lijst te zien ben je met een wachtwoordmanager niet perse veiliger, ook die gegevens probeert het te stelen.

Je zult met je browser ongetwijfeld op veel plekken nog ingelogd zijn op sites of apps. Als je de cookies en storage kunt benaderen binnen de browser, heb je toegang tot alles wat de browser ook heeft.

Gebruik zelf ook bitwarden welke gelocked wordt met Windows Hello. Maar dan nog is die key ergens in het geheugen te vinden en ergens opgeslagen. Uiteindelijk is dat te kraken als je lokale toegang hebt. Je zult immers niet doorhebben dat die malware draait, dus als je je browser of ww manager unlockt, dan slaat de malware toe en leest alles uit.

[Reactie gewijzigd door barbarbar op 15 november 2024 20:10]

desalniettemin @barbarbar16 november 2024 09:42
Bedankt voor de info, maar wat dan te doen? Niet op verdacht emails klikken uiteraard. Ik gebruik overigens Linux en geen Windows. Of maakt dat ook niet?

[Reactie gewijzigd door desalniettemin op 16 november 2024 09:45]

barbarbar @desalniettemin17 november 2024 10:07
Omdat het om een .exe gaat, lijkt dit voor Windows machines te gelden. De rest van de beschrijving zou ook voor Linux kunnen gelden.

Wat kun je doen? Eigenlijk het bekende riedeltje:
- Zorg dat je software up-to-date is,
- Virus en malware scanner gebruiken (ook op Linux),
- Verdachte mailtjes niet openen,
- 2fa gebruiken voor belangrijke sites, waarbij de code niet in je wachtwoordmanager staat maar op een tweede apparaat zoals je telefoon.
- Alternatieven gebruiken voor het bekijken van zip bestanden en pdf's, al worden die alternatieven ook steeds bekender...
- Er niet zomaar vanuit gaan dat je lokale gegevens wel veilig zijn. Betaalgegevens zet ik écht niet in m'n browser bijvoorbeeld. Ik vul de gegevens liever een keer handmatig extra in, dan dat dit opgeslagen is op m'n pc of telefoon waar een website bijkan.

[Reactie gewijzigd door barbarbar op 17 november 2024 10:09]

Bor Coördinator Frontpage Admins / FP Powermod
16 november 2024 11:15
Naast het master password van diverse browsers target deze malware ook gegevens van password managers als Lastpass en het hier populaire Bitwarden wat direct duidelijk maakt dat het hebben van een password manager alleen niet genoeg is. Wanneer je malware oploopt kan informatie van je alsnog worden gestolen.
keroner 16 november 2024 15:13
Met 2fa hebben ze hier weinig aan toch?
Bor Coördinator Frontpage Admins / FP Powermod
@keroner16 november 2024 16:00
Met 2fa ben je met dit soort malware in ieder geval al 1 van de factoren kwijt wanneer de aanval slaagt. 2FA is verder ook niet overal mogelijk (wat op zich onbegrijpelijk is in 2024).
Chiwn @Bor17 november 2024 12:44
Volgens mij als je malware hebt draaien ben je de pineut, hoeveel factoren je dan ook aan hebt staan om in te loggen in je password manager zelf. Je kan wel MFA hebben, maar onderaan de streep krijg je een authenticatie cookie/token terug, en die kan gestolen worden. Als je je hier tegen wil wapenen moet je volgens mij dus ook je 2fa op iedere website activeren en dan gebruiken op een systeem wat niet gekoppeld zit aan je computer (authenticator op je telefoon bijv).
Dan nog, dan ben je alleen beschermd tegen een specifieke groep malware, dit soort infostealers. In principe is je apparaat gewoon niet meer te vertrouwen wanneer er malware op draait, maar kan je geluk hebben dat de malware toevallig niet net jouw use case aanvalt.
Bor Coördinator Frontpage Admins / FP Powermod
@Chiwn17 november 2024 13:22
Volgens mij als je malware hebt draaien ben je de pineut, hoeveel factoren je dan ook aan hebt staan om in te loggen in je password manager zelf.
Daar heb je gelijk. Ik doelde meer op de infostealer vs de factoren zelf uit een meer theoretische benadering. Je maakt hier een goede aanvulling.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq