Wat zijn Infostealers?
Infostealers zijn schadelijke programma's die ongemerkt gevoelige informatie van een apparaat stelen, zoals inloggegevens, creditcardgegevens en cryptowallet-informatie. Deze gegevens worden vervolgens naar een externe server gestuurd en vaak doorverkocht of misbruikt. In een (MaaS)-model, zoals dat van RedLine en META, bieden ontwikkelaars de malware als dienst aan via een abonnementsmodel, waardoor de drempel voor minder ervaren criminelen lager is. Met eenvoudige “point-and-click” opties kunnen zij al campagnes uitvoeren.
Functionaliteiten van RedLine en META
RedLine en META zijn ontworpen om flexibel te zijn en aan te passen aan de doelen van cybercriminelen. Ze kunnen bijvoorbeeld worden geconfigureerd om wachtwoorden, financiële gegevens, cryptowallets en andere belangrijke informatie te stelen. Daarnaast zijn er extra modules zoals keylogging en het maken van screenshots, die afhankelijk van de behoefte kunnen worden toegevoegd. Beide malwareprogramma’s verzamelen daarnaast informatie over hardware, geïnstalleerde software en de beveiligingsinstellingen van het slachtoffer.
Een belangrijk kenmerk van deze MaaS-modellen is het gebruik van gedecentraliseerde Command-and-Control (C2)-servers. In plaats van één centrale server gebruikt elke affiliate een eigen C2-server, wat de verspreiding van de malware moeilijker te stoppen maakt. De gestolen gegevens worden rechtstreeks naar de server van de affiliate gestuurd voor opslag of verkoop.
Hoe verspreiden RedLine en META zich?
RedLine en META komen vaak ongemerkt op systemen terecht via malware loaders, die zich installeren en vervolgens de infostealer en eventuele andere kwaadaardige software downloaden. Deze loaders verspreiden zich vaak via gekraakte software, illegale downloads of nep-updates op websites. Ook worden methoden zoals phishing-e-mails, malvertising en het misbruiken van kwetsbaarheden in verouderde software ingezet.
Eenmaal geïnstalleerd, controleren deze infostealers vaak of ze recent op het systeem zijn uitgevoerd, bijvoorbeeld door specifieke markers te plaatsen. RedLine maakt bijvoorbeeld een map aan in “%LOCALAPPDATA%\SystemCache”. META creëert een map in “%LOCALAPPDATA%\Microsoft\Windоws” waarin de ‘o’ in ‘Windows’ in het Cyrillisch is geschreven. Door deze markers en hun aanmaakdatum te controleren, kunnen ze bepalen of een herinfectie nodig is.
Hoe beschermt je jouw bedrijf tegen infostealers?
Gezien de geavanceerde mogelijkheden van infostealers en de snelle evolutie van MaaS-modellen, zijn proactieve maatregelen essentieel om systemen en gegevens te beschermen. Hybride werken, waarbij privé-apparaten voor werk worden gebruikt, maakt bedrijfsgegevens extra kwetsbaar. Hieronder volgen enkele belangrijke stappen om infostealers buiten de deur te houden:
- Doe een scan: Gebruik de ESET Meta/Redline Scanner om systemen te controleren op infostealers zoals RedLine en META.
- Acties bij detectie:
- Voer een volledige systeemscan uit om alle infecties te verwijderen.
- Verander direct de wachtwoorden van kritieke accounts.
- Controleer financiële accounts op verdachte activiteiten en meld dit bij de bank indien nodig.
- Voer software-updates uit om het systeem beter te beveiligen tegen toekomstige infecties.
- Neem contact op met een cybersecurity-expert voor diepgaand advies en verdere maatregelen.
- Voorkomen van toekomstige infecties: Blijf waakzaam en volg deze beveiligingstips:
- Houd software up-to-date.
- Gebruik betrouwbare beveiligingssoftware.
- Kies sterke, unieke wachtwoorden.
- Schakel tweestapsverificatie (2FA) in.
- Gebruik een firewall en VPN.
Met een combinatie van goede beveiligingspraktijken en hulpmiddelen zoals de ESET Meta/Redline Scanner kun je jouw bedrijf en jezelf beter beschermen tegen de groeiende dreiging van infostealers.
