Titanen steler
Een nieuwe schadelijke dreiging, bekend als de Titan Stealer, is ontdekt door beveiligingsonderzoekers. De Titan Stealer is geschreven in de Go-programmeertaal en wordt geadverteerd door cybercriminelen op hun Telegram-kanaal. De Titan Stealer is ontworpen om verschillende soorten gegevens van Windows-computers te verzamelen, waaronder wachtwoorden en gebruikersnamen van webbrowsers en cryptocurrency-portefeuilles, FTP-clientgegevens, screenshots, systeeminformatie en alle bestanden waartoe het toegang heeft. De eerste informatie over deze specifieke malwaredreiging werd in november 2022 gepubliceerd door de cyberbeveiligingsonderzoeker Will Thomas (@BushidoToken).
De bedreigende mogelijkheden van de Titan Stealer
De Titan Stealer is bedreigende software die wordt gebruikt om gevoelige gegevens van de machines van slachtoffers te verzamelen. De Titan Stealer maakt gebruik van een techniek genaamd process hollowing, die de schadelijke lading injecteert in het geheugen van het legitieme AppLaunch.exe-proces, dat deel uitmaakt van het Microsoft.NET ClickOnce Launch Utility. De Titan Stealer richt zich op grote webbrowsers, zoals Chrome, Firefox, Edge, Yandex, Opera, Brave, Vivaldi, 7 Star Browser en de Iridium Browser.
De Titan Stealer richt zich ook op crypto-wallets, zoals Armory, Atomic, Bytecoin, Coinomi, Edge Wallet, Ethereum, Exodus, Zcash en Guarda Jaxx Liberty. Bovendien kan de Titan Stealer ook informatie verzamelen over geïnstalleerde applicaties op de gecompromitteerde machines en gegevens vastleggen die verband houden met de Telegram-desktopapplicatie. De verzamelde gegevens worden vervolgens naar een externe server gestuurd in een Base64-gecodeerd archiefbestand voor gebruik door aanvallers. De Titan Stealer wordt ook geleverd met een webpaneel waarmee de aanvallers toegang hebben tot de verzamelde gegevens. De Titan Stealer wordt aan zijn klanten aangeboden als een bouwer, waardoor ze het binaire getal van de dreiging kunnen aanpassen aan hun specifieke bedreigingsdoeleinden en het exacte informatietype dat ze willen verkrijgen.
Cybercriminelen wenden zich tot de Golang voor Infostealer-malware
Bedreigingsactoren zijn geobserveerd met behulp van Golang, een programmeertaal die is ontwikkeld door Google, om hun malware voor het stelen van informatie te maken. Go staat bekend om zijn eenvoud, efficiëntie en prestaties, waardoor het een ideale keuze is voor aanvallers die platformonafhankelijke malware willen maken die kan worden uitgevoerd op meerdere besturingssystemen, zoals Windows, Linux en macOS. De Titan Stealer is een voorbeeld van deze trend.
Door het gebruik van Golang kunnen cybercriminelen ook kleine binaire bestanden maken, die moeilijker te detecteren zijn door beveiligingssoftware. Bovendien maakt het gebruiksgemak van de taal het voor hackers gemakkelijker om snel hun schadelijke code te ontwikkelen zonder al te veel tijd te besteden aan het leren van een complexe taal. Voor degenen die hun malware snel willen implementeren, is dit een aantrekkelijke optie.
