October 9, 2024

|

Infostealers series

Hoe worden infostealers gemaakt?

Infostealers worden gemaakt als Malware-as-a-Service (MaaS). Dit model stelt cybercriminelen zonder diepgaande technische kennis in staat om toegang te krijgen tot geavanceerde malware door simpelweg te betalen voor een abonnement. Hierdoor zijn infostealers voor een bredere groep criminelen toegankelijk om aanvallen uit te voeren zonder zelf malware te ontwikkelen.

In dit MaaS-model bieden criminele netwerken hun infostealers aan als een kant-en-klare oplossing, vergelijkbaar met hoe legitieme softwarebedrijven hun producten in abonnementsvorm aanbieden. Bekende infostealers zoals Redline, Raccoon, en Lumma worden ontwikkeld en voortdurend bijgewerkt door cybercriminelen, en vervolgens op verschillende dark web-marktplaatsen verkocht aan wie er maar voor wil betalen. Dit heeft geleid tot een toenemende professionalisering van het criminele ecosysteem. De marketingstrategieën die worden gebruikt om deze infostealers te promoten, doen denken aan die van legitieme softwarebedrijven, compleet met advertenties die de effectiviteit van hun malware benadrukken.

Intern Ontwikkelproces

De malwareontwikkelaars achter infostealers volgen strakke ontwikkelprocessen, waarbij ze continu werken aan het omzeilen van antivirussoftware. Een belangrijk deel van dit proces is het implementeren van technieken zoals code-obfuscatie en encryptie, waardoor de malware er anders uitziet bij elke infectie en lastig te detecteren is voor traditionele antivirusprogramma's. Daarnaast voegen de ontwikkelaars voortdurend nieuwe functies toe om de malware steeds krachtiger te maken, bijvoorbeeld om sessietime-outs te voorkomen, supercookies te exporteren of om apparaten uit de sluimerstand te houden.

Command & Control Dashboards

Naast het ontwikkelen van de malware zelf, bieden MaaS-aanbieders hun klanten toegang tot gebruiksvriendelijke Command & Control (C2) dashboards. Deze dashboards functioneren vergelijkbaar met de portalen van legitieme SaaS-diensten en geven verspreiders van infostealers een overzicht van geïnfecteerde apparaten. Verspreiders kunnen inloggen op deze portalen, die zich vaak in verborgen secties van het dark web bevinden, en daar kunnen ze eenvoudig hun infecties beheren.

Eenmaal ingelogd in het C2-dashboard, kunnen verspreiders acties uitvoeren zoals het kapen van sessies ("hijacking"), waardoor ze onmiddellijk toegang krijgen tot de sessies van geïnfecteerde gebruikers zonder dat opnieuw authenticatie nodig is. Vanuit het dashboard exporteren ze ook de gestolen gegevens, zoals inloggegevens en sessietokens, en bieden deze te koop aan op criminele marktplaatsen.

Onder de radar blijven

Een belangrijk onderdeel van het ontwikkelproces is ervoor te zorgen dat de infostealer malware onopgemerkt blijft door antivirusprogramma's. Hiervoor maken ontwikkelaars gebruik van technieken zoals code-obfuscatie en encryptie om de malware te verbergen voor signature-based antivirussoftware. Deze methoden zorgen ervoor dat de malware er anders uitziet bij elke infectie, waardoor standaard antivirusprogramma's moeite hebben om de infostealer te detecteren.

Daarnaast wordt de malware vaak in kleine, onopvallende stukjes code verpakt, zodat deze langzaam en bijna onzichtbaar op de systemen van de slachtoffers wordt uitgevoerd. Dit wordt vaak gecombineerd met technieken zoals "fileless" malware, waarbij de infostealer in het geheugen van de computer draait in plaats van op de harde schijf, waardoor detectie nog moeilijker wordt.

Evolutie en innovatie

Net als legitieme software worden infostealers voortdurend geëvalueerd en verbeterd. Zowel succesvolle als mislukte infecties leveren waardevolle inzichten op, waarmee de ontwikkelaars nieuwe functies kunnen ontwikkelen en kwetsbaarheden in hun malware kunnen verhelpen. Zo is onlangs een nieuwe functie geïntroduceerd: de extractie van supercookies. Deze stelt aanvallers in staat om aanzienlijk langer ingelogd te blijven, en supercookies zijn veel moeilijker ongeldig te maken.

Infostealer-gemeenschappen volgen actief de ontwikkeling van nieuwe tools die gegevens lokaal opslaan. Een recent voorbeeld hiervan betrof de aangekondigde Recall-module van Microsoft Copilot, die screenshots van het scherm maakt en lokaal opslaat. Wanneer gegevens lokaal worden opgeslagen, biedt dat een kans voor infostealers om deze data te stelen en voor verkoop aan te bieden.

Conclusie

Infostealers zijn door hun combinatie van geavanceerde functionaliteit en gebruiksvriendelijkheid een steeds aantrekkelijker middel geworden voor cybercriminelen. Het Malware-as-a-Service-model verlaagt de instapdrempel voor criminele actoren en maakt het eenvoudiger om grootschalige infecties te beheren en winst te maken. Dit vergroot niet alleen de dreiging voor individuen en organisaties, maar maakt ook duidelijk dat het infostealer-ecosysteem qua professionaliteit steeds meer op een serieus techbedrijf begint te lijken.