Ukrainska myndigheter identifierade en misstänkt infostealer-operatör kopplad till stölden av 28 000 onlinekonton som tillhörde kunder hos en Kalifornienbaserad nätbutik. Utredare uppgav att skadeprogrammet stal inloggningsuppgifter, webbläsarcookies och autentiseringsdata från infekterade enheter.
Utredningen genomfördes av ukrainsk cyberpolis tillsammans med amerikanska brottsbekämpande myndigheter. Myndigheterna uppgav att de stulna kontona senare användes för bedrägerier och obehöriga köp.
Utredare spårade operationen
Myndigheterna identifierade en 18-årig misstänkt från Odesa som enligt uppgifter hanterade system som användes för att bearbeta och sälja stulna kontodata.
Forskare uppgav att angriparna samlade in inloggningsuppgifter, webbläsarsessioncookies och autentiseringstoken från infekterade enheter. Den stulna informationen distribuerades senare genom underjordiska cyberkriminella kanaler.
Utredare kopplade operationen till omkring 28 000 komprometterade kundkonton hos den drabbade nätåterförsäljaren.
Kriminella använde kontona för bedrägerier
Myndigheterna uppgav att angriparna använde tusentals av de stulna kontona för obehöriga köp.
Utredare uppskattade att cirka 5 800 konton aktivt användes för bedrägliga transaktioner. Aktiviteten ska ha orsakat ekonomiska förluster på hundratusentals dollar genom bedrägerier och chargebacks.
Forskare varnade för att stulna sessionscookies och autentiseringstoken kan göra det möjligt för angripare att kringgå lösenord och ibland även undvika MFA-skydd.
Sessionskapning har blivit allt vanligare i moderna infostealer-operationer. Angripare kan få åtkomst till redan autentiserade konton utan att behöva känna till lösenorden.
Polisen beslagtog enheter och infrastruktur
Ukrainsk cyberpolis genomförde husrannsakningar kopplade till utredningen. Polisen beslagtog datorer, mobila enheter, lagringsmedia och finansiella bevis.
Myndigheterna återfann även infrastruktur som enligt uppgifter användes för hantering av autentiseringsuppgifter och försäljning av stulna konton på underjordiska marknader.
Utredare uppgav att de beslagtagna systemen innehöll bevis kopplade till skadeprogramsoperationer, kryptovalutaaktivitet och plattformar som användes för distribution av stulen kontodata.
Tjänstemän bekräftade identifieringen av den misstänkte och beslaget av bevismaterial, men inga formella åtal offentliggjordes i detta skede.
Infostealer-skadeprogram fortsätter att växa
Infostealer-skadeprogram är fortfarande ett av de snabbast växande hoten inom cyberbrottslighet. Dessa skadeprogramsfamiljer stjäl lösenord, webbläsarcookies, autentiseringstoken, finansiell data och information från kryptovalutaplånböcker på infekterade system.
Säkerhetsforskare fortsätter att varna för att stöld av webbläsarsessioner skapar allvarliga risker. Angripare kan kapa aktiva sessioner utan att alltid behöva användarnas lösenord.
Moderna infostealer-operationer drivs ofta genom malware-as-a-service-ekosystem med utvecklare, operatörer och återförsäljare.
Den modellen har gjort storskaliga kampanjer för stöld av autentiseringsuppgifter enklare att lansera och tjäna pengar på.
Stulna autentiseringsuppgifter används i fler attacker
Forskare varnar för att stulna autentiseringsuppgifter ofta används i ytterligare cyberbrott utöver kontobedrägerier.
Komprometterade konton och sessionstoken förekommer regelbundet i ransomwareintrång, business email compromise-attacker, finansiella bedrägerier och stölder av kryptovaluta.
Telegramkanaler och bedrägerimarknadsplatser hjälper nu cyberkriminella att snabbt distribuera stulen kontodata.
Säkerhetsexperter rekommenderar att organisationer övervakar misstänkt inloggningsaktivitet noggrant. De rekommenderar också att aktiva sessioner avslutas omedelbart efter misstänkt exponering för skadeprogram.
Slutsats
Utredningen kring den misstänkta infostealer-operatören visar den växande omfattningen av moderna operationer för stöld av autentiseringsuppgifter. Myndigheter kopplade skadeprogramskampanjen till 28 000 komprometterade konton och omfattande bedräglig aktivitet.
Forskare varnar för att infostealers fortfarande utgör allvarliga hot mot webbläsarsessioner, autentiseringstoken och molnanslutna konton.
0 svar till ”Infostealer-operatör kopplas till 28 000 stulna konton”