ForceCopy Stealer: de sluwe bedreiging die zich richt op webbrowsergegevens

Een nieuw hulpmiddel in het arsenaal van een beruchte hackersgroep

Cybersecurity-experts hebben een geavanceerde cyberdreiging ontdekt die bekendstaat als forceCopy Stealer, een informatieverzameltool die wordt ingezet bij gerichte aanvallen. Deze stealer is gelinkt aan Kimsuky , een goed gedocumenteerde hackersgroep waarvan wordt aangenomen dat deze gelieerd is aan de inlichtingendiensten van Noord-Korea. Recente rapporten geven aan dat Kimsuky phishingtechnieken heeft gebruikt om forceCopy Stealer te verspreiden, met de focus op het verkrijgen van gevoelige gebruikersgegevens die zijn opgeslagen in webbrowsers.

Hoe aanvallers forceCopy Stealer inzetten

De bezorgmethode voor forceCopy Stealer draait om misleidende e-mails die zo zijn opgesteld dat ze legitiem lijken. Deze e-mails bevatten doorgaans een bijlage die zich voordoet als een Microsoft Office- of PDF-document, maar in werkelijkheid een Windows-snelkoppelingsbestand (LNK) is. Zodra de ontvanger het bestand opent, activeert het schadelijke scripts via PowerShell of Microsoft's mshta.exe, die beide legitieme systeemtools zijn die vaak worden misbruikt voor ongeautoriseerde doeleinden.

Na de uitvoering van deze scripts worden extra payloads opgehaald van een externe bron. De aanvallers implementeren vervolgens andere tools naast forceCopy Stealer, waaronder een bekende trojan genaamd PEBBLEDASH en een aangepaste versie van een open-source Remote Desktop-hulpprogramma genaamd RDP Wrapper. Deze componenten werken samen om langetermijntoegang tot gecompromitteerde systemen te verkrijgen.

De kernfunctie van forceCopy Stealer

In de kern is forceCopy Stealer ontworpen om gegevens te extraheren uit specifieke locaties die zijn gekoppeld aan webbrowsers. Het primaire doelwit lijken browserconfiguratiebestanden te zijn, die opgeslagen inloggegevens kunnen bevatten. Door zich te richten op deze mappen, omzeilt de tool bepaalde beveiligingsbeperkingen die bescherming bieden tegen conventionele technieken voor diefstal van inloggegevens. Omdat webbrowsers vaak wachtwoorden en andere gevoelige informatie opslaan voor het gemak van de gebruiker, kan een aanvaller met toegang tot deze bestanden mogelijk inloggegevens voor verschillende onlineservices ophalen.

Implicaties van de activiteiten van de copy stealer

De inzet van forceCopy Stealer roept zorgen op over de bredere implicaties voor cybersecurity. De gestolen browsergegevens kunnen op verschillende manieren worden misbruikt, waaronder ongeautoriseerde toegang tot accounts, identiteitsfraude of verdere gerichte aanvallen. Bovendien kunnen getroffen personen of organisaties te maken krijgen met langetermijnbeveiligingsrisico's, omdat de stealer wordt gebruikt naast andere kwaadaardige tools zoals keyloggers en proxy-gebaseerde communicatiesystemen.

Een opvallende verschuiving in Kimsuky's tactieken is het gebruik van tools zoals RDP Wrapper en proxy-malware, waarmee aanvallers permanente toegang tot gecompromitteerde machines kunnen behouden. Dit vertegenwoordigt een evolutie in hun methoden, waarbij ze afstappen van eerder gebruikte backdoors ten gunste van een meer modulaire en adaptieve aanpak.

Een aanhoudende en evoluerende bedreiging

Kimsuky, ook bekend onder aliassen als APT43 en Emerald Sleet, is al meer dan tien jaar actief. Ze gebruiken vaak social engineering-tactieken om veiligheidsmaatregelen te omzeilen. Hun vermogen om phishingcampagnes op maat te maken en legitieme tools te misbruiken voor kwaadaardige doeleinden, heeft hen tot een hardnekkige bedreiging in het cybersecuritylandschap gemaakt.

Recente bevindingen suggereren dat de groep haar methoden blijft verfijnen, met forceCopy Stealer als nieuwste toevoeging aan haar arsenaal. De nadruk op diefstal van browsergegevens benadrukt een aanhoudende interesse in inloggegevens, mogelijk voor spionage of financieel gewin. Deze ontwikkeling onderstreept de noodzaak voor gebruikers om waakzaam te blijven tegen phishingpogingen en ongeautoriseerde toegang tot gegevens.

Versterking van de verdediging tegen diefstal van browsergegevens

Gezien het toenemende gebruik van browsergebaseerde inloggegevensopslag, is het belangrijk om beschermende maatregelen te implementeren tegen bedreigingen zoals forceCopy Stealer. Gebruikers moeten voorzichtig zijn bij het verwerken van e-mailbijlagen, met name die van onbekende bronnen. Organisaties moeten e-mailbeveiligingsprotocollen versterken en toezicht houden op verdachte activiteiten die kunnen duiden op ongeautoriseerde pogingen tot externe toegang.

Door te begrijpen hoe forceCopy Stealer werkt en welke tactieken groepen als Kimsuky gebruiken, kan iedereen proactieve maatregelen nemen om hun digitale activa te beschermen en het risico op dergelijke cyberdreigingen te verkleinen.