2min

Juniper Threat Labs heeft een een nieuwe Trojan ontdekt die spyware verspreidt. De spyware gebruikt Telegram om gestolen informatie te bemachtigen. Door Telegram als Command and Control (CnC) kanaal te gebruiken kan de malware in potentie de devices van zo’n 200 miljoen maandelijks actieve gebruikers infecteren.

De malware wordt op ondergrondse fora “Masad Clipper en Stealer” genoemd. Masad Stealer verzamelt gegevens en stuurt die naar een Telegrambot die wordt beheerd door een individu dat Masad gebruikt. Omdat de malware wordt aangeboden als kant-en-klaar ‘product’, kan het dus worden gebruikt door meerdere cybercriminelen, die niet de oorspronkelijke makers van de malware hoeven te zijn.

De kwaadaardige software steelt browsergegevens, die gebruikersnamen, wachtwoorden en creditcardgegevens kunnen bevatten. Masad Stealer vervangt ook automatisch cryptovaluta-portefeuilles op het klembord van gebruikers door zijn eigen portefeuille, waardoor het stelen van cryptovaluta mogelijk wordt.

Werking

De nieuwe malware is volgens Juniper gebouwd met het gebruik van Autoit-scripts. Vervolgens worden deze gecompileerd in een Windows-executable. Masad Stealer wordt uitgevoerd in %APPDATA%\map_naam}\{bestandsnaam}\{bestandsnaam}, waarbij map_naam en bestandsnaam uit de binary voortkomen. Voorbeelden zijn onder meer amd64_usbhub3.inf.resources en ws2_32.exe. Ook maakt Masad Stealer iedere minuut een geplande taak aan, om zo hardnekkig mogelijk door te blijven functioneren.

Na de installatie begint Masad Stealer met het verzamelen van gevoelige informatie uit het systeem. Naast bijvoorbeeld cryptovaluta-gegevens wordt er ook PC- en systeeminformatie gestolen, evenals creditcardgegevens en browserwachtwoorden. Ook informatie over geïnstalleerde software en processen wordt buitgemaakt, bij een aantal veelgebruikte programma’s waaronder Steam en Discord.

Het onderzoek door Juniper toont aan dat Masad Stealer wordt verspreid in Trojans die vermomd zijn als een legitieme applicatie. Soms nestelt de malware zich in tools van andere programma’s. Cybercriminelen bereiken gebruikers door te adverteren op fora, op downloadsites van derden of op sites voor het delen van bestanden. In de blog van Juniper is meer informatie te vinden over programma’s die door de Trojan worden nagebootst.