'Uno Reverse': Onderzoekers stelen cookies terug van hackers
Beveiligingsonderzoekers van CyberArk Labs zijn erin geslaagd om de rollen om te draaien bij een grote campagne van 'infostealer'-malware. Door een kwetsbaarheid in de infrastructuur van de aanvallers zelf te exploiteren, konden de onderzoekers de gestolen data – waaronder miljoenen cookies en wachtwoorden – inzien en zelfs sessies van de hackers overnemen.
In een onlangs gepubliceerd onderzoek, toepasselijk getiteld "Uno Reverse Card", beschrijft CyberArk hoe zij de controle kregen over een controlepaneel van de beruchte StealC-malware. Deze malware wordt op grote schaal verkocht aan criminelen om inloggegevens en browsercookies te stelen van argeloze internetgebruikers.
De jager wordt de prooi
De onderzoekers ontdekten een zogeheten Cross-Site Scripting (XSS) kwetsbaarheid in het webpaneel dat hackers gebruiken om hun buit te beheren. Door deze zwakke plek te misbruiken, konden de onderzoekers 'terugstelen' van de dieven. Ze kregen toegang tot:
- 30 miljoen gestolen cookies en ruim 390.000 wachtwoorden.
- Systeem-fingerprints van de computers van de hackers zelf.
- Actieve sessiecookies, waarmee de onderzoekers de controle konden overnemen van de accounts die de aanvallers op dat moment gebruikten.
Slordigheid bij criminelen
Het is een ironische wending: terwijl de StealC-ontwikkelaars gespecialiseerd zijn in het omzeilen van browserbeveiliging om cookies te stelen, vergaten zij hun eigen systemen te beschermen met basistechnieken zoals httpOnly-flags. Deze slordigheid stelde CyberArk in staat om de identiteit en locatie van de aanvallers deels te achterhalen.
Uit de geanalyseerde data bleek dat veel slachtoffers besmet raakten terwijl ze op YouTube zochten naar 'cracks' voor populaire software zoals Adobe Photoshop. In plaats van een gratis programma installeerden zij onbewust de StealC-malware.
Kwetsbare infrastructuur
"Criminele infrastructuur faalt vaak om dezelfde redenen waarom het succesvol is: het wordt gehaast gebouwd, hergebruikt en slecht beveiligd," aldus de onderzoekers. De operatie geeft een uniek kijkje in de keuken van 'Malware-as-a-Service' (MaaS), waarbij zelfs minder technisch onderlegde criminelen toegang kopen tot krachtige diefstal-tools.
Hoewel de onderzoekers de controle over een deel van de infrastructuur konden krijgen, blijft infostealer-malware een groeiend probleem. Cookies worden steeds vaker het doelwit omdat aanvallers hiermee Multi-Factor Authenticatie (MFA) kunnen omzeilen door simpelweg een actieve, reeds ingelogde sessie te kopiëren.
Meer over cybercrime
Over Witold Kepinski
