En ny trussel er dukket op, ved navn "Meduza" malwaren. Denne lumske malware, der er snedig markedsført på tværs af forskellige Telegram-kanaler og mørke webfora, tilbydes nu som en abonnementsbaseret tjeneste med planer, der strækker sig fra en måned til en levetid.

Kendt som Crimeware-as-a-Service (CaaS), har denne trend taget cyberkriminalitetsverdenen med storm, og Meduza er dens seneste tilføjelse, udviklet med præcision og ondsindet hensigt. Uptycs Threat-forskere har dykket ned i dets muligheder og opdaget, at Meduza Stealer er aktivt under udvikling og kan prale af en omfattende række af data-stjælende funktionaliteter kombineret med avancerede teknikker til detektion unddragelse.

Hvordan hvordan opdagede man Meduza Stealeren?

De overvågede nøje Telegram-kanaler og Dark Web-fora og identificerede stjælerens skaber, som går under brugernavnet "Meduza." Ifølge malware-administratorens påstand deltager Meduza ikke i ransomware-operationer; dets eneste formål er snarere at stjæle værdifuld information.

Meduzas primære mål er Windows-baserede systemer og organisationer, som i øjeblikket sigter mod ti specifikke lande. Malwaren stjæler snigende en lang række følsomme data, herunder login-legitimationsoplysninger, browserhistorik, bogmærker, 2FA-data, kryptotegnebøger og adgangskoder gemt i adgangskodeadministratorer. Ingen extensions er sikre fra Meduzas greb.

Meduza malwaren tilbydes åbenlyst til salg på russisk hackerforum XSS.IS

Hvad gør Meduza anderledes?

Det, der adskiller Meduza fra anden malware, er dets smarte operationelle design - den afholder sig fra at bruge sløringsteknikker i sin binære, hvilket gør det ekstremt vanskeligt at opdage. Desuden har malware-administratoren vedtaget meget sofistikerede markedsføringstaktikker, der går i den grad at udsætte Meduza-tyverfilen for scanninger fra velrenommeret antivirussoftware og dele skærmbilleder som bevis på dens evne til at undgå opdagelse.

Antivirussoftwares manglende evne til dynamisk og statisk at detektere Meduzas binære filer udgør en væsentlig udfordring for sikkerhedsforskere. Det er dog prismodellen, der gør Meduza til en sand game-changer. Administratoren tilbyder en række abonnementspakker, herunder 1-måneders, 3-måneders og livstidsadgangsplaner, alt sammen til konkurrencedygtige priser.

Derudover gøres de stjålne data tilgængelige via et brugervenligt webpanel, der gør det muligt for abonnenter at oprette tilpassede binære filer og få adgang til, downloade og slette følsomme oplysninger, såsom IP-adresser, geografiske data, lagrede cookies, tegnebøger, adgangskoder og OS build navne.

Sådan foregår selve processen

Når Meduza inficerer en maskine, udfører den geolokaliseringsscanninger mod en foruddefineret liste over ekskluderede lande og stopper dens operationer, hvis der findes et match. Hvis der ikke opstår nogen match, etablerer Meduza en forbindelse med sin operatørs C2-server og begynder derefter sine data-tyve-operationer. Malwaren er rettet mod forskellige Windows API'er for at udtrække et væld af systemoplysninger, herunder geolocation, OS-detaljer, hardwarespecifikationer og meget mere. Desuden indsamler den browserrelaterede data som cookies, historik, webdata og loginoplysninger fra en foruddefineret liste over browsere.

Men listen over data, Meduza kan stjæle, slutter ikke der. Malwaren er i stand til at stjæle data fra 19 adgangskodeadministratorer, klienter til forskellige tjenester som Discord, 95 webbrowsere og 76 cryptocurrency wallet-udvidelser.

For at beskytte mod denne ondsindede trussel er det afgørende at vedligeholde opdaterede operativsystemer, browsere og applikationer for at sikre rettidig patching af sårbarheder. Desuden rådes brugere kraftigt til at anvende robust adgangskodepraksis for at styrke deres forsvar mod cyberangreb. Vær på vagt, vær beskyttet.