Chrome 80 blokkeert populaire data-stelende malware AZORult

Abonneer je gratis op Techzine!

Inloggegevens kopen via de Genesis Store werd lange tijd grotendeels mogelijk gemaakt door malware met de naam AZORult. Negentig procent van de bemachtigde gegevens zou met behulp van die specifieke malware worden buitgemaakt, waarna Google overging tot actie ondernemen: met Chrome 80 zal de malware niet langer werken.

Uit onderzoek van beveiligingsfirma KELA bleek dat er een aanzienlijke vermindering in aangeboden inloggegevens is terug te vinden op Genesis. De webwinkel waar buitgemaakte gegevens worden verhandeld, lag al geruime tijd onder de loep van KELA nadat Kaspersky in begin 2019 het bestaan van het platform onthulde.

Op de Genesis Store worden inloggegevens onder de naam fingerprints verkocht, aangezien er veel meer dan enkel een inlognaam en wachtwoord wordt aangeschaft: de Genesis Store schaart alle buitgemaakte gegevens onder een persoonlijk profiel en dat ID wordt aangeboden. KELA dook dieper in het ontstaan van de ID’s en wist het merendeel (negentig procent) van de profielen naar één malware-string terug te leiden: AZORult.

Met de introductie van Chrome 80, stapte Google over naar het AES-256 algoritme: wachtwoorden worden op een andere manier opgeslagen waardoor AZORult niet meer in staat is de inloggegevens uit Chrome te halen. Aangezien de source code voor de malware ook niet meer beschikbaar is (de maker gooide eind 2018 de handdoek in de ring), is het ook niet mogelijk om AZORult snel aan te passen om het nieuwe algoritme van Google te omzeilen.

Een overwinning voor Google en gebruikers van de browser dus, maar AZORult was slechts één leverancier van één illegale webwinkel. Malware die nog wel actief wordt bijgehouden door de makers, zoals de Raccoon infostealer, kwam daags na de update van Google naar Chrome 80 al met een update die wel inspeelde op het nieuwe algoritme.