- Static Stealer heeft veel mogelijkheden om gegevens te stelen, waardoor het een grote dreiging vormt. Het kan gevoelige informatie stelen van verschillende webbrowsers, waaronder inloggegevens, cookies, webgegevens en voorkeuren. Daarnaast richt het zich op cryptocurrency-portemonnees, wachtwoorden en zelfs gegevens van berichten-apps zoals Telegram.
- De stealer gebruikt C++-code, een veel gebruikte programmeertaal om malware te ontwikkelen. Bovendien voert de stealer controles uit op verschillende bestandsnamen om detectie van sandboxen en reverse engineering-aanvallen te voorkomen.
- Statc Stealer steelt gevoelige informatie van Windows-besturingssystemen en richt zich voornamelijk op browsers die op Windows-apparaten worden gebruikt.
- De stealer-malware maakt gebruik van HTTPS-codering om zijn activiteiten te verbergen. Statc Stealer gebruikt het HTTPS-protocol om gestolen en gecodeerde gegevens naar een command-and-control (C&C)-server te sturen.
Amsterdam, 23 augustus 2023 - Het Zscaler ThreatLabz-team ontdekte recent een nieuwe infostealer-familie genaamd Statc Stealer. Statc Stealer is een geavanceerde malware die apparaten infecteert die draaien op Windows, zich toegang verschaft tot het computersysteem en gevoelige informatie steelt.
Deze infostealer krijgt toegang tot de gegevens van slachtoffers door te verschijnen als een authentieke Google-advertentie. Zodra de slachtoffers op de advertentie klikken, wordt hun besturingssysteem geïnfecteerd met kwaadaardige code die gevoelige gegevens steelt, zoals inloggegevens, creditcardgegevens en details van cryptocurrency-portemonnees. Dit kan enorme persoonlijke en professionele gevolgen hebben voor slachtoffers. Ze worden bijvoorbeeld een gemakkelijk doelwit voor identiteitsdiefstal, cryptojacking en andere vormen van malware-aanvallen. Op bedrijfsniveau kan een inbraak van Statc Stealer leiden tot financieel verlies, reputatieschade, wettelijke aansprakelijkheid en boetes.
Aanvalsketen
De aanvalsketen van Statc Stealer ziet er als volgt uit:
- Een gebruiker wordt misleid om ergens in zijn Google Chrome-browser op een schadelijke link te klikken (meestal een advertentie).
- De gebruiker downloadt het eerste voorbeeldbestand.
- Nadat het schadelijke bestand is uitgevoerd, wordt het eerste voorbeeldbestand verwijderd en wordt een Decoy PDF Installer uitgevoerd.
- Om het downloaden van de Statc-payload via een PowerShell-script te vergemakkelijken, dropt en voert het voorbeeldbestand ook een Downloader Binary-bestand uit.
- Zodra Statc Stealer de gegevens van de gebruiker heeft gestolen, versleutelt het de gegevens, plaatst het in een tekstbestand en slaat het op in de Temp-map.
- Vanaf hier roept Statc Stealer zijn C&C-server op om de gestolen gecodeerde gegevens te exfiltreren.
Figure 1: Statc Stealer attack chain
Statc Stealer richt zich vooral op de meest populaire Windows-browsers. Door gebruik te maken van hun wijdverspreide gebruik, kan deze info-stealer gevoelige gegevens van een grotere groep gebruikers compromitteren. De Static Stealer-malware kan gegevens uit de volgende browsers exfilteren:
- Chrome
- Microsoft Edge
- Brave
- Opera
- Yandex
- Mozilla Firefox
Conclusie
De opkomst van Statc Stealer als zoveelste nieuwe versie van infostealer-malware benadrukt de meedogenloze en snelle evolutie van kwaadaardige software in de digitale wereld. De verschillende soorten malware worden met de minuut complexer. Het is belangrijk om alert te blijven, doorlopend onderzoek uit te voeren en continu te monitoren. Dit is op zich al een vorm van bescherming tegen malware, maar we raden beveiligingsteams ook aan om al het verkeer te inspecteren en malwarepreventie-engines zoals Zscaler Cloud Intrusion Prevention Systems (IPS) te gebruiken voor bekende dreigingen en sandboxing-technologie voor onbekende dreigingen.
Zscaler ThreatLabz is continu op zoek naar nieuwe dreigingen en deelt zijn bevindingen met de bredere gemeenschap. Bezoek de website voor een uitgebreide technische analyse van Statc Stealer.