Cybercrime - Credential-Stuffing-Angriffe

Zscaler deckt neue Infostealer-Malware PurpleWave auf

, München, Zscaler | Autor: Herbert Wieler

Zscaler deckt neue Infostealer-Malware PurpleWave auf

Infostealer sind eines der profitabelsten Werkzeuge für Cyberkriminelle. Informationen, die aus infizierten Systemen gewonnen werden, werden in einschlägigen Foren verkauft oder für Credential-Stuffing-Angriffe verwendet. Credential Stuffing ist ein Cyberangriff, der gestohlene Konto-Anmeldedaten verwendet und auf Benutzerkonten durch groß angelegte automatisierte Anmeldeanfragen zugreift. Die Security-Forscher des ThreatLabZ-Teams von Zscaler hat einen neuen Infostealer namens PurpleWave analysiert. Die Schadsoftware wurde in C++ geschrieben und installiert sich im Hintergrund auf dem System eines Opfers. Nach der Erstinfektion verbindet sich dieser Infostealer mit einem Command-and-Control-Server (C&C), um Systeminformationen zum Angreifer zu senden, und weitere Malware zur Installation auf dem infizierten System nachzuladen.

Der Autor dieser Malware bewirbt und verkauft den PurpleWave Stealer in russischen Cybercrime-Foren für 5.000 RUB (68 US-Dollar) mit lebenslangen Updates oder alternativ für 4.000 RUB (54 US-Dollar) bei nur zwei Updates. Laut Angaben des Autors ist die Malware in der Lage Passwörter, Cookies, Kreditkartendaten und Autofill-Formulare von Chrom- und Mozilla-Browsern auszulesen. Darüber hinaus sammelt der Stealer auch Dateien aus dem angegebenen Pfad, macht Screenshots und installiert zusätzliche Module.

Zum Funktionsumfang des PurpleWave Stealers zählen außerdem folgende Aktivitäten:

  • Aufnehmen des Bildschirms
  • Stehlen von Systeminformationen
  • Stehlen von Informationen aus den Apps Steam und Telegramm
  • Diebstahl von Daten aus dem Wallet Electrum
  • Laden und Ausführen von Zusatzmodulen/Malware
  • Aufbau eines Dashboards zur Visualisierung von gestohlenen Protokollen der infizierten Rechner und die Konfigurationseinstellungen der Malware

Darüber hinaus wartet PurpleWave mit einem Dashboard auf, über das die Käufer des Stealers jederzeit Einblick in erfolgreiche Infektionen behalten und auf die gestohlenen Informationen der infizierten Systeme zugreifen können. Zusätzlich lässt sich über das Dashboard die Konfiguration der Malware verändern, so dass jeder Angreifer die Möglichkeit hat, mit seiner individuellen Version zu arbeiten.

Auch wenn sich PurpleWave noch in einem frühen Entwicklungsstadium befindet, hat diese Malware bereits jetzt großes Potenzial, sensible Informationen abzugreifen. Zscaler geht davon aus, der der Autor kontinuierlich Features zum Diebstahl sensibler Informationen hinzufügen wird. Die Zscaler Cloud Sandbox und die mehrschichtige Cloud Security Plattform ist in der Lage, die Angriffsvektoren auf verschiedenen Ebenen zu erkennen und zu blockieren.

Die gesamte technische Analyse des Infostealers ist unter dem aktuellen ThreatLabz Blog ThreatLabz Blog nachzulesen.