Spionagegroep steelt Firefoxwachtwoorden van slachtoffers

[Captain Kirk]

Een bekende spionagegroep zoekt op besmette computers handmatig naar wachtwoorddatabases van Firefox, Opera en e-mailclient The Bat! om die vervolgens te stelen. Het gaat om een groep aanvallers die bekendstaat als Fancy Bear, APT28, Pawn Storm en Strontium, zo meldt antivirusbedrijf ESET.

Om toegang tot de systemen van slachtoffers te krijgen maken de aanvallers gebruik van de Zebrocy-backdoor. De nieuwste versie van Zebrocy wordt verspreid via linkjes in e-mailberichten. De linkjes wijzen naar een archiefbestand dat weer een pdf-document en een .exe-bestand bevat. Het .exe-bestand laat als afleidingsmanoeuvre het pdf-document zien, terwijl in de achtergrond de malware wordt gedownload. Via de malware voeren de aanvallers handmatig acties op de besmette computer uit, zoals het maken van screenshots en verzamelen van informatie.

Om meer informatie te verzamelen uploaden de aanvaller zogeheten 'dumpers' waarmee bestanden worden gedownload. De aanvallers hebben het daarbij voorzien op de certificatendatabase, privésleutels en versleutelde wachtwoordendatabase van Firefox, alsmede de wachtwoordendatabases van Opera en The Bat!.

Volgens de onderzoekers worden de commando's om de databases te stelen handmatig door de aanvallers uitgevoerd. Naast de databases kunnen ze via de backdoor ook andere bestanden van het slachtoffer downloaden, zoals Microsoft Office-bestanden, afbeeldingen en archiefbestanden.

 

 

 

bron: security.nl