Wprowadzenie do problemu / definicja
Venom Stealer to złośliwe oprogramowanie z kategorii infostealer, zaprojektowane do kradzieży danych uwierzytelniających, plików sesyjnych, informacji z przeglądarek oraz zasobów powiązanych z portfelami kryptowalutowymi. Na tle wielu wcześniejszych rodzin malware tego typu wyróżnia się nie tylko szerokim zakresem pozyskiwanych danych, ale również zdolnością do utrzymywania się w środowisku ofiary i cyklicznego zbierania nowych informacji już po początkowej infekcji.
To przesuwa zagrożenie z modelu jednorazowej kradzieży w stronę stałego nadzoru nad aktywnością użytkownika. W praktyce oznacza to, że naruszenie może mieć charakter ciągły, a nie incydentalny.
W skrócie
Venom Stealer jest oferowany w modelu malware-as-a-service, co obniża próg wejścia dla cyberprzestępców i zapewnia operatorom dostęp do aktualizacji oraz gotowych mechanizmów prowadzenia kampanii. Ataki często wykorzystują socjotechnikę typu ClickFix, skłaniając ofiarę do ręcznego uruchomienia polecenia prowadzącego do infekcji systemu Windows.
Po instalacji malware przeszukuje profile przeglądarek Chromium i Firefox, wykrada hasła, cookies, historię, dane autouzupełniania oraz informacje związane z portfelami kryptowalutowymi. Najgroźniejszym elementem pozostaje jednak komponent działający w tle, który monitoruje nowo zapisane poświadczenia i aktywność portfeli, przez co sama zmiana haseł może nie wystarczyć do opanowania incydentu.
Kontekst / historia
Rynek infostealerów od lat jest jednym z filarów cyberprzestępczości. Skradzione poświadczenia są wykorzystywane do przejęć kont, uzyskiwania dostępu do środowisk firmowych, oszustw finansowych, dalszych włamań oraz sprzedaży dostępu innym grupom przestępczym.
Model usługowy sprawił, że rozwój tego typu narzędzi zaczął przypominać komercyjny cykl życia oprogramowania. Operatorzy otrzymują aktualizacje, nowe obejścia zabezpieczeń, szablony przynęt socjotechnicznych i narzędzia do zarządzania kampanią. W przypadku Venom Stealer to właśnie połączenie wygody operacyjnej i trwałości działania czyni zagrożenie szczególnie istotnym.
Analiza techniczna
Łańcuch ataku rozpoczyna się zazwyczaj od socjotechniki typu ClickFix. Użytkownik trafia na spreparowaną stronę podszywającą się pod zaufany element infrastruktury lub typowy komunikat systemowy, taki jak fałszywy CAPTCHA, aktualizacja, błąd certyfikatu SSL czy prośba o instalację czcionki. Następnie jest instruowany, aby otworzyć okno „Uruchom”, PowerShell lub terminal i wkleić wskazane polecenie.
Taki mechanizm pozwala ominąć część klasycznych zabezpieczeń, ponieważ inicjatywa uruchomienia ładunku przechodzi na użytkownika. Po wykonaniu polecenia malware instaluje się w systemie, zbiera informacje o środowisku i rozpoczyna rekonesans lokalny.
Venom Stealer identyfikuje przeglądarki, profile użytkownika oraz rozszerzenia. Następnie odczytuje zapisane dane z przeglądarek opartych na Chromium i z Firefoksa. Zakres przejmowanych informacji obejmuje:
- loginy i hasła zapisane w przeglądarkach,
- sesyjne pliki cookie,
- historię przeglądania,
- dane formularzy i autouzupełniania,
- informacje powiązane z portfelami kryptowalutowymi i rozszerzeniami przeglądarkowymi.
Szczególnie niepokojący jest opisany mechanizm pozyskiwania klucza deszyfrującego dla nowszych schematów ochrony haseł w Chrome poprzez ciche podniesienie uprawnień, bez typowego monitu UAC. Oznacza to, że operator może uzyskać dostęp do danych, które użytkownik mógł uznać za właściwie chronione przez system i przeglądarkę.
Dodatkowo malware ogranicza lokalny ślad operacyjny, szybko eksfiltrując dane zamiast długo przechowywać je na zainfekowanej stacji. To utrudnia analizę po incydencie i skraca czas dostępny na detekcję.
Najważniejszą zmianą względem tradycyjnych infostealerów jest jednak trwałość działania. Po początkowej kradzieży danych Venom Stealer pozostaje aktywny i przesyła do operatora informacje o nowych hasłach zapisanych przez użytkownika oraz o aktywności związanej z portfelami. W praktyce tworzy to mechanizm ciągłego odświeżania wartości wykradzionych danych.
Konsekwencje / ryzyko
Z punktu widzenia organizacji Venom Stealer zwiększa ryzyko na kilku poziomach jednocześnie. Umożliwia przejęcie dostępu do kont użytkowników, usług SaaS, poczty, VPN oraz paneli administracyjnych. Dzięki kradzieży sesyjnych cookies może również wspierać obejście części mechanizmów MFA poprzez przejęcie aktywnych sesji.
Najpoważniejszym problemem operacyjnym jest to, że klasyczna reakcja polegająca na jednorazowej zmianie hasła może okazać się nieskuteczna. Jeśli host pozostaje skompromitowany, nowe poświadczenia również mogą zostać natychmiast przechwycone.
Dla zespołów SOC i IR oznacza to konieczność traktowania infekcji jako trwałego incydentu, który może prowadzić do dalszych strat także po rozpoczęciu działań naprawczych. W środowiskach, gdzie użytkownicy przechowują hasła w przeglądarkach lub korzystają z portfeli kryptowalutowych na stacjach roboczych, poziom ryzyka jest szczególnie wysoki.
Rekomendacje
Organizacje powinny w pierwszej kolejności ograniczyć skuteczność socjotechniki prowadzącej do ręcznego uruchamiania poleceń. Niezbędne są szkolenia obejmujące scenariusze ClickFix, fałszywe komunikaty bezpieczeństwa oraz próby nakłaniania użytkownika do uruchamiania skryptów z poziomu „Uruchom”, PowerShell lub terminala.
Po stronie technicznej warto rozważyć następujące działania:
- ograniczenie użycia PowerShell i interpreterów skryptowych do uzasadnionych przypadków,
- wdrożenie application control i mechanizmów allowlisting,
- monitorowanie nietypowych procesów uruchamianych z kontekstu przeglądarki lub schowka,
- kontrolę ruchu wychodzącego i analizę połączeń do niestandardowej infrastruktury,
- wykrywanie dostępu procesów do magazynów danych przeglądarek, plików cookie i zasobów rozszerzeń kryptowalutowych,
- centralne stosowanie menedżerów haseł zamiast przechowywania poświadczeń w przeglądarkach,
- segmentację dostępu i ograniczanie uprawnień lokalnych użytkowników.
W przypadku podejrzenia infekcji należy założyć, że samo resetowanie haseł jest niewystarczające. Priorytetem powinno być odizolowanie hosta, analiza śledcza, usunięcie mechanizmów trwałości, unieważnienie aktywnych sesji oraz rotacja poświadczeń dopiero po pełnym oczyszczeniu systemu. Jeśli na urządzeniu znajdowały się portfele kryptowalutowe, należy natychmiast ocenić ekspozycję kluczy, seed phrase i powiązanych kont.
Podsumowanie
Venom Stealer pokazuje, że infostealery ewoluują w kierunku narzędzi o charakterze półtrwałego implantatu. Nie ograniczają się już do jednorazowej eksfiltracji, lecz stale odświeżają wartość operacyjną skradzionych danych dla atakującego.
Połączenie modelu malware-as-a-service, gotowych przynęt socjotechnicznych, obejścia ochrony przeglądarek i ciągłego monitorowania nowych poświadczeń sprawia, że zagrożenie wykracza poza klasyczny scenariusz „ukraść i zniknąć”. Dla obrońców oznacza to konieczność szybszej detekcji, twardszej kontroli wykonywania poleceń przez użytkowników oraz pełnego podejścia incident response.
Źródła
- SecurityWeek — Venom Stealer Raises Stakes With Continuous Credential Harvesting — https://www.securityweek.com/venom-stealer-raises-stakes-with-continuous-credential-harvesting/