Infostealer sind eines der profitabelsten Werkzeuge für Cyberkriminelle. Informationen, die aus infizierten Systemen gewonnen werden, werden in einschlägigen Foren verkauft oder für Credential-Stuffing-Angriffe verwendet. Credential Stuffing ist ein Cyberangriff, der gestohlene Konto-Anmeldedaten verwendet und auf Benutzerkonten durch groß angelegte automatisierte Anmeldeanfragen zugreift.
Die Sicherheitsforscher von Zscaler hat einen neuen Infostealer namens PurpleWave analysiert. Die Schadsoftware wurde in C++ geschrieben und installiert sich im Hintergrund auf dem System eines Opfers. Nach der Erstinfektion verbindet sich der Stealer mit einem Command-and-Control-Server, um Systeminformationen zum Angreifer zu senden, und weitere Malware zur Installation auf dem infizierten System nachzuladen.
Der Autor dieser Malware bewirbt und verkauft den PurpleWave Stealer in russischen Cybercrime-Foren für 5.000 RUB (68 US-Dollar) mit lebenslangen Updates oder alternativ für 4.000 RUB (54 US-Dollar) bei nur zwei Updates. Laut Angaben des Autors ist die Malware in der Lage Passwörter, Cookies, Kreditkartendaten und Autofill-Formulare von Chrom- und Mozilla-Browsern auszulesen. Der Stealer sammelt auch Dateien aus dem angegebenen Pfad, macht Screenshots und installiert zusätzliche Module.
Zum Funktionsumfang von PurpleWave zählen folgende Aktivitäten:
- Aufnehmen des Bildschirms
- Stehlen von Systeminformationen
- Stehlen von Informationen aus den Apps Steam und Telegramm
- Diebstahl von Daten aus dem Wallet Electrum
- Laden und Ausführen von Zusatzmodulen/Malware
Darüber hinaus wartet PurpleWave mit einem Dashboard auf, über das die Käufer des Stealers jederzeit Einblick in erfolgreiche Infektionen behalten und auf die gestohlenen Informationen der infizierten Systeme zugreifen können. Zusätzlich lässt sich über das Dashboard die Konfiguration der Malware verändern, so dass jeder Angreifer die Möglichkeit hat, mit seiner individuellen Version zu arbeiten.
Auch wenn sich PurpleWave noch in einem frühen Entwicklungsstadium befindet, hat diese Malware bereits jetzt großes Potenzial, sensible Informationen abzugreifen. Zscaler geht davon aus, der der Autor kontinuierlich Features zum Diebstahl sensibler Informationen hinzufügen wird. Die Zscaler Cloud Sandbox und die mehrschichtige Cloud Security Plattform ist in der Lage, die Angriffsvektoren auf verschiedenen Ebenen zu erkennen und zu blockieren.