Malware InnifiRAT steelt inloggegevens van cryptocurrency wallets

Onderzoekers van securityspecialist Zscaler hebben een nieuwe trojan gevonden, die zich specialiseert in de diefstal van cryptovalutagerelateerde data. De malware, InnfiRAT geheten, bevat veel standaardmogelijkheden van trojans, maar zoekt specifiek naar inloggegevens voor de cryptocurrency wallet.

InnfiRAT verspreidt zich waarschijnlijk via phishing-mails die malafide bijlages of drive-by downloads bevatten, meldt ZDNet.

Nadat de malware op een kwetsbare machine is geland, maakt het een kopie van zichzelf en verstopt het deze in de AppData directory. Daarna schrijft het een Base64 encodes PE-bestand in het geheugen, om de belangrijkste functie uit te voeren.

Werking

De trojan zoekt eerst naar indicatoren van een sandbox-omgeving. Beveiligingsonderzoekers gebruiken zo’n omgeving veelal om malware-monsters te reverse-engineeren. Wordt zo’n omgeving gevonden, dan wordt de malware beëindigd.

Is er echter geen sandbox-omgeving aanwezig, dan gaat de trojan door met het uitvoeren van zijn functies. InnfiRAT verzamelt systeemdata – waaronder het land van de machine – het type processor, de verkoper van de PC, de naam en de cache-grootte. Daarna neemt het contact op met zijn command-and-control (C2) server, verstuurt het de gestolen informatie en wacht het op verdere instructies.

In zijn zoektocht naar cryptovaluta zoekt InnfiRAT naar informatie gerelateerd aan cryptocurrency wallets door te zoeken naar %AppData%\Litecoin\wallet.dat en %AppData%\Bitcoin\wallet.dat. Blijken die aanwezig, dan wordt bestaande data die gebruikt kan worden om de wallets te compromitteren en geld te stelen, verzameld.

Andere mogelijkheden

InnfiRAT heeft verder de mogelijkheid om andere malafide payloads in te zetten, bestanden te stelen en browser cookies te stelen om opgeslagen inloggegevens te verzamelen. Ook kan de trojan screenshots maken van open sessies en traditionele antivirus-processen afsluiten.

Dergelijke processen vindt de trojan door een lijst van alle draaiende processen op een geïnfecteerd systeem te verzamelen. Daarbij zoekt het naar processen die overeenkomen met een lijst aan woorden, zoals ‘chrome’ en ‘firefox’. Gevonden matches worden beëindigd.

De beveiligingsonderzoekers van Zscaler benadrukken dat het belangrijk is om geen programma’s te downloaden of bijlages te openen uit e-mails van onbekende bronnen.