Meduza-Malware zielt auf Browser und Passwort-Manager
Eine neue Malware mit dem Namen Meduza Stealer wurde entdeckt, die auf Windows-Betriebssysteme abzielt und Informationen aus einer Vielzahl von Browsern, Passwortmanagern und Kryptowährungs-Wallets stiehlt.
Meduza Stealer wurde bisher noch nicht mit konkreten Angriffen in Verbindung gebracht. Es wird jedoch vermutet, dass die Malware über gängige Methoden von Informationsdieben verbreitet wird, z. B. über kompromittierte Websites und Phishing-E-Mails.
Sobald Meduza Stealer gestartet wird, führt Meduza Stealer mit der Windows-Funktion GetUserGeoID eine Geolokalisierungsprüfung durch. Die Malware stellt dann den Betrieb ein, wenn sich das System in einem von zehn bestimmten Ländern befindet, darunter Russland, Kasachstan und Belarus. In anderen Ländern beginnt sie, grundlegende Informationen über das infizierte System zu sammeln, wie z. B. den Computernamen, CPU/GPU/RAM/Hardware-Details, Betriebssystemversion, Zeitzone und aktuelle Uhrzeit, und macht einen Screenshot.
Meduza Stealer macht dann Jagd auf Daten im Benutzerdatenordner, indem er nach browserbezogenen Informationen wie dem Browserverlauf, Cookies, Logins und Webdaten sucht. Etwa 97 Browservarianten wie Chrome, Firefox, Microsoft Edge, Chromium, Amigo, URBrowser, Vivaldi, Kameta, UCBrowswe, NETGATE und eine Vielzahl anderer stehen auf der Zielliste.
Die Malware zielt auch auf 19 Passwort-Manager, darunter Authenticator 2FA, Trezor Password Manager, LastPass, 1Password, Authy, GAuth Authenticator, Dashlane Password Manager, Bitwarden Password Manager, Nord Pass, Keeper Password Manager, RoboForm und andere. Es zielt speziell auf Erweiterungen im Zusammenhang mit Zwei-Faktor-Authentifizierung und Passwort-Manager mit der Absicht, Daten zu extrahieren.
Darüber hinaus zeigt Meduza Stealer ein spezifisches Interesse an Kryptowährungs-Wallets, indem er versucht, Wallet-Erweiterungen aus Webbrowsern zu extrahieren, die die Verwaltung von Kryptowährungswerten erleichtern. Diese Erweiterungen bieten Funktionen zur Überwachung von Kontoständen und zur Durchführung von Transaktionen direkt in Browsern wie Chrome und Firefox.
Laut Uptycs Threat Research setzt der Administrator von Meduza Stealer auch ausgeklügelte Marketingmethoden ein, um den Virus über zahlreiche cyberkriminelle Websites zu verbreiten. Um potenzielle Käufer in Versuchung zu führen, zeigt der Administrator Screenshots, die beweisen, dass die Malware von Antivirensoftware nicht erkannt wird. Im Rahmen der Marketingbemühungen wird auch der Zugang zu den gestohlenen Daten über ein Web-Panel angeboten, für das verschiedene Mitgliedschaften zu unterschiedlichen Preisen erhältlich sind.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TechRepublic.