Malware typen kaldet "infostealers" fortsætter med at udvikle sig til en mere alvorlig trussel. Disse trusler er software, der kan stjæle følsomme data fra en computers bruger, typisk loginoplysninger, browsercookies, gemte kreditkortoplysninger og andre finansielle oplysninger.

SiliconANGLE har tidligere afdækket "infostealers" rolle ifht. forskellige ransomware- og IT-angreb, herunder Stealc og LockBit i februar og EventBot, en Android-baseret infostealer, tilbage i april 2020.

Desværre fortsætter IT-kriminelle med at forbedre denne malware-type, og to nye rapporter, der er offentliggjort indenfor de seneste uger, dokumenterer deres seneste tiltag.

Automatiseringens rolle i spredningen af infostealere

En af tendenserne er brugen af automatisering til at sprede deres indvirkning. "Cyberkriminelle arbejder hårdt på at udvikle nye almindelige stealere og frigive dem på automatiserede botnet-markeder til overkommelige priser for at appellere til et bredere publikum," siger Yael Kishon, der har skrevet rapporten fra forskningsgruppen KELA Cybercrime Prevention. Gruppen overvåger forskellige infostealer-versioner og deres skabere.

Infostealer-markedet er kaotisk, da nye versioner kommer og går, og da nogle kriminelle bliver anholdt. Sidste år blev den ukrainske udvikler bag Raccoon-stealeren anholdt og stod over for anklager. Men måneder senere blev en ny version solgt.

Den typiske rolle for denne malware er, at den bruges som grundlag af andre trusselaktører til at lancere målrettede kampagner, der anvender ransomware og dataafpresningselementer ved hjælp af de stjålne loginoplysninger. Genren er vokset gennem årene for at inkludere bedre integration med andre malware-værktøjer, der kan analysere de stjålne data og organisere dem til specifikke målrettede ofre.

Malware as a service

Disse malware-versioner har abonnementsbaseret prissætning ligesom enhver anden software som en service, med forskellige priser for ekstra trafikanalyse- og obfuskationsfunktioner. Man kan kalde det "malware as a service".

En infostealer kaldet Aurora har mere end 6.000 abonnenter med en månedlig pris på 850 kroner. Kishon dokumenterer den voksende tendens til at bruge Telegram-kanaler til at kommunikere og sælge de stjålne data sammen med abonnementer til selve stealer-softwaren.

Stealc kan nu gå efter mere end 22 forskellige webbrowsere, 75 plugins og 25 desktop-wallets, ifølge Bleeping Computer. En anden inforstealer kaldet LummaC2 kan endda stjæle multifaktor-autentificeringskoder fra forskellige autentificeringsapplikationer og bruges til at stjæle data fra websteder, der udgiver sig for at være OpenAI- og ChatGPT-versioner.

Den anden rapport kommer fra Secureworks Inc. Counter Threat Unit forskere. De dokumenterer den voksende underjordiske økonomi inden for stealer universet, herunder en af de største websteder kaldet Russian Market. Webstedet tilbyder 5 millioner forskellige datasamlinger til salg og er cirka 10 gange større end sin største konkurrent. Specifikke datasamlinger kan endda forudbestilles, som det tilhørende skærmbillede viser. Rapporten indeholder en detaljeret sammenligning af de fem mest almindelige stealers med hensyn til prissætning, programmeringssprog, målrettede kryptokroner og applikationer samt versionshosting.

Mange stealere arbejder hurtigt. I nogle tilfælde kan de færdiggøre deres indsamling og transmission af data inden for få sekunder, når de er aktiveret. Rapporten dokumenterer flere andre markedspladser for stealere, der inkluderer botnets, brugerdefinerede browser-plugins og andre forbedringer, der gør det nemmere for trusselaktører at opbygge malware med meget lidt programmering eller færdigheder.

Secureworks dokumenterer også den øgede rolle, som Telegram spiller, motiveret af en række markante nedlæggelser af stealere af lovhåndhævende myndigheder sidste år. "Forskere har observeret svindlere på Telegram, der efterligner virkelige trusselaktører ved at oprette falske profiler," siger de. "Denne manglende omdømme og forekomsten af svindlere vil sandsynligvis underminere tilliden og forhindre trusselaktører i at fuldt ud vedtage Telegram."

En bekymrende trend er, hvordan stealere er blevet omfavnet af malware-grupper med statsstøtte til cyberspionage-operationer. For eksempel har russiske grupper brugt Graphiron-stjæleren mod ukrainske mål, og kinesiske grupper har brugt dem mod forskellige fjender i Asien.

Forskerne konstaterer, at stealere bliver mere sofistikerede, hvilket gør dem sværere at finde og fjerne. "Politikker om at medbringe egen enhed, der blev oprettet under COVID, hvilket tillader brugere at få adgang til virksomhedsaktiver fra inficerede personlige enheder, har ført til kompromitteringer af virksomhedssystemer," bemærker de. Tilsyneladende var COVID ikke den eneste infektion, der spredte sig under pandemien.