OpenVPN-wachtwoorden en OpenSSH-keys in vizier TrickBot

[Captain Kirk]

De beruchte TrickBot-malware die de afgelopen maanden voor meerdere grootschalige ransomware-uitbraken verantwoordelijk was lijkt zich op te maken voor het stelen van OpenVPN-wachtwoorden en OpenSSH-keys. Dat meldt securitybedrijf Palo Alto Networks in een analyse.

TrickbBot is een veelzijdige malwarefamilie die gegevens voor internetbankieren en allerlei andere wachtwoorden kan stelen, alsmede in staat is om aanvullende malware te installeren. Dit jaar kregen meerdere organisaties met de Ryuk-ransomware te maken die door TrickBot was geïnstalleerd. TrickBot weet zich op twee manieren te verspreiden. De eerste manier is het gebruik van kwaadaardige macro's in Microsoft Office-documenten die naar organisaties worden gemaild. Bij de tweede manier wordt TrickBot geïnstalleerd door de Emotet-malware, die zich ook via kwaadaardige macro's verspreidt.

Het was al bekend dat TrickBot bijvoorbeeld wachtwoorden voor Outlook, RDP, VNC en PuTTY buitmaakte. Bij een recent ontdekte versie bleek de module voor het stelen van wachtwoorden te zijn aangepast. De module probeert nu ook private keys voor OpenSSH en OpenVPN-wachtwoorden/configuraties te stelen. De aanpassing lijkt nog niet functioneel te zijn, aangezien onderzoekers niet zagen dat de private keys en wachtwoorden ook daadwerkelijk werden buitgemaakt.

Wel steelt TrickBot wachtwoorden en private keys die binnen de SSH/Telnet-client PuTTY worden gebruikt. Mocht de nieuwe functionaliteit wel naar behoren gaan werken kan dit een bijkomend probleem voor organisaties zijn. De makers van TrickBot hebben laten zien dat ze zeer succesvol zijn in het infecteren van organisaties. Door het stelen van OpenVPN-wachtwoorden en OpenSSH-keys zouden de aanvallers op andere manieren dan de malware zelf toegang tot een organisatie kunnen krijgen of behouden.

 

 

bron: security.nl