'Vier miljoen cookies en 200.000 wachtwoorden gestolen door PXA-malware'
Onderzoekers hebben malware ontdekt die meer dan vier miljoen cookies en 200.000 unieke wachtwoorden heeft gestolen en onder andere in Nederland actief is. Dat laten securitybedrijven SentinelOne en Beazley Security in een analyse weten. De PXA-malware, waarvan de eerste versie vorig jaar verscheen, is een infostealer. Dit is malware speciaal ontwikkeld voor het stelen van allerlei inloggegevens, zoals wachtwoorden, cookies en tokens waarmee toegang tot accounts wordt verkregen.
Voor de verspreiding van de PXA-malware wordt onder andere gebruik gemaakt van een kopie van de Haihaisoft PDF Reader en een Microsoft Word 2013 executable. De aanvallers versturen phishingmails of weten gebruikers op andere wijze deze software te laten downloaden. De software is echter voorzien van een malafide dll-bestand dat wordt geladen wanneer de gebruiker de software start. Het dll-bestand is verantwoordelijk voor het installeren van de uiteindelijke malware. Eenmaal actief steelt de PXA-infostealer informatie uit een groot aantal browsers en crypto-gerelateerde browser-extensies, alsmede configuratiebestanden en databases van cryptowallets en vpn-applicaties.
De PXA-malware kan ook inloggegevens, cookies en session tokens van een aantal specifieke websites stelen. Het gaat dan met name om cryptogelateerde websites, zoals die van cryptobeurzen Binance, Coinbase en Kraken. Wederom is het doel om toegang tot accounts en cryptovaluta van gebruikers te krijgen. De gestolen informatie wordt in een zip-bestand opgeslagen en naar de aanvallers gestuurd. In de logbestanden van de PXA-malware vonden de onderzoekers ip-adressen van meer dan vierduizend slachtoffers in 62 landen. De meeste slachtoffers bevinden zich in Zuid-Korea, de Verenigde Staten en Nederland, zo stellen ze.
Aanvulling 17:36: begin juli had ik een discussie met een onvoorwaardelijke passkeys fan. Op de risico's die ik beschreef reageerde hij (of zij), in https://infosec.exchange/@relishthecracker/114784310289912270, met:
[...]
I agree it’s a problem for Web Apps, but it’s not appropriate to attribute that problem directly to a Passkey - it was never built to prevent problems outside of the Passkey (e.g. the wider Web App)
"Vertrouwen" op een derde partij is niet mogelijk in een zero-trust omgeving, en die heb ik.
Aanvulling 17:36: begin juli had ik een discussie met een onvoorwaardelijke passkeys fan. Op de risico's die ik beschreef reageerde hij (of zij), in https://infosec.exchange/@relishthecracker/114784310289912270, met:
[...]
I agree it’s a problem for Web Apps, but it’s not appropriate to attribute that problem directly to a Passkey - it was never built to prevent problems outside of the Passkey (e.g. the wider Web App)
Alsof MFA en passkey's gemaakt zijn om malware aanvallen te stoppen?
Ik heb een Windows 11 desktop met TPM en zover ik weet worden in de TPM mijn passkeys opgeslagen. Kan malware vanuit TPM passkeys stelen en naar elders transporteren? Verder moet ik op mijn android telefoon met een authenticator een unieke TOTP genereren speciaal voor het account waar ik met een passkey aanlog. Moet een hacker dan ook niet mijn telefoon stelen om voor dat specifieke account een TOTP te genereren?
Bij voorbaat dank voor nadere uitleg.
Ik heb een Windows 11 desktop met TPM en zover ik weet worden in de TPM mijn passkeys opgeslagen. Kan malware vanuit TPM passkeys stelen en naar elders transporteren? Verder moet ik op mijn android telefoon met een authenticator een unieke TOTP genereren speciaal voor het account waar ik met een passkey aanlog. Moet een hacker dan ook niet mijn telefoon stelen om voor dat specifieke account een TOTP te genereren?
Bij voorbaat dank voor nadere uitleg.
Wanneer de malware zich bijvoorbeeld ophoud in de browser die wordt gebruikt voor het bankieren/crypto/benaderen belangrijke gegevens, dan ziet deze malware alles wat getypt, geplakt of op een andere manier (automatisch) in een aanlogscherm wordt ingegeven en kan deze gegevens dan gebruiken. In deze situatie heeft tfa geen toegevoegde waarde zal Erik bedoelen. Tfa heeft pas toegevoegde waarde wanneer iemand vanaf een ander systeem wil aanloggen. De aanvaller heeft dan niet de tweede authenticatie methode.
Wanneer de malware zich bijvoorbeeld ophoud in de browser die wordt gebruikt voor het bankieren/crypto/benaderen belangrijke gegevens, dan ziet deze malware alles wat getypt, geplakt of op een andere manier (automatisch) in een aanlogscherm wordt ingegeven en kan deze gegevens dan gebruiken. In deze situatie heeft tfa geen toegevoegde waarde zal Erik bedoelen. Tfa heeft pas toegevoegde waarde wanneer iemand vanaf een ander systeem wil aanloggen. De aanvaller heeft dan niet de tweede authenticatie methode.
Als ik aanlog met een passkey zie ik deze key op geen enkel moment op mijn aanlogscherm. Ik zie wel de TOTP, maar die is slechts 30 seconden geldig, dus een eventuele indringer in de browser moet wel snel zijn.
Verder gaat het artikel niet over malware in een browser, maar over malware in een PDF reader en MS Word 2013. Ik gebruik nooit Word of een PDF reader om aan te loggen. Ik zou ook niet weten hoe ik een TOTP aan MS Word of een PDF reader zou moeten geven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?