De Oekraïense cyberpolitie heeft een 18-jarige verdachte geïdentificeerd die ervan wordt verdacht een informatiediefstal-malwarecampagne te hebben die verband houdt met de diefstal van ongeveer 28.000 online accounts en honderdduizenden dollars aan frauduleuze transacties.
Volgens de Oekraïense autoriteiten zou de verdachte, die in Odesa woont, infostealer-malware hebben gebruikt om klantaccounts te compromitteren die verbonden zijn aan een online winkel in Californië. Onderzoekers zeiden dat de operatie cybercriminelen in staat stelde ongeautoriseerde toegang te krijgen tot duizenden gebruikersaccounts, waarvan er later veel werden misbruikt voor frauduleuze aankopen en financiële diefstal.
Wetshandhavingsinstanties zeiden dat de aanvallen leidden tot ongeoorloofde aankopen van ongeveer 5.800 gecompromitteerde accounts, wat resulteerde in ongeveer $721.000 aan frauduleuze transacties. Functionarissen meldden ook directe financiële verliezen van ongeveer $250.000 in verband met terugboekingen en bijbehorende fraudekosten.
Het onderzoek werd gezamenlijk uitgevoerd door de Oekraïense cyberpolitie en Amerikaanse wetshandhavingsinstanties. Tijdens zoekopdrachten die aan de verdachte werden gekoppeld, zouden onderzoekers computerapparatuur, mobiele apparaten, bankkaarten en digitaal bewijs hebben in beslag genomen die met de malware-operatie te maken hadden.
De autoriteiten zeiden dat de aanvaller infostealer-malware gebruikte om in het geheim apparaten van slachtoffers te infecteren en inloggegevens, authenticatiegegevens en andere gevoelige informatie te verzamelen. De gestolen gegevens werden vervolgens verzonden naar infrastructuur die door de aanvallers werd gecontroleerd en later gebruikt om zonder toestemming toegang te krijgen tot klantaccounts.
Infostealers blijven een van de meest voorkomende vormen van cybercriminaliteitsmalware vanwege hun vermogen om stilletjes inloggegevens, browsercookies, financiële informatie, cryptocurrency-walletgegevens en authenticatietokens van geïnfecteerde systemen te verzamelen. Beveiligingsonderzoekers waarschuwen dat gestolen inloggegevens verkregen via infostealer-infecties vaak worden verkocht op ondergrondse cybercrimeforums of hergebruikt in grotere fraude-, ransomware- en phishingoperaties.
Cybercriminele groepen verspreiden steeds vaker infostealers via phishing-e-mails, kwaadaardige browserextensies, illegale software, nep-softwareinstallers, gekraakte applicaties en gecompromitteerde websites. Veel moderne infostealer-operaties werken ook volgens malware-as-a-service-modellen, waardoor minder technisch ervaren aanvallers malware-infrastructuur kunnen huren en diensten voor gestolen inloggegevens kunnen verhuren.