Remus malware zaobilazi zaštitu u Chromium browserima
Istraživači Gen Threat Labs identifikovali su Remus, novi 64-bitni information-stealer koji se opisuje kao evolucija Lumma Stealer malware-a. Remus može da krade sačuvane lozinke, session cookies i cryptocurrency wallets, a posebno je značajno to što koristi metodu za zaobilaženje Application-Bound Encryption zaštite u Chromium browserima. Malware ubacuje mali shellcode direktno u memoriju browser procesa kako bi pronašao zaštićeni master key koji se koristi tokom rada. Uz to koristi Ethereum smart contracts za pronalaženje C2 infrastrukture, što otežava klasično gašenje napadačke infrastrukture.
Kod infostealer malware-a najopasniji deo često nije samo krađa lozinke, već krađa sesije koja napadaču može otvoriti pristup bez ponovnog prijavljivanja. Remus pokazuje da se zaštite u browserima brzo napadaju novim tehnikama, dok korišćenje blockchain infrastrukture dodatno komplikuje blokiranje i uklanjanje napadačke kontrole.
- Uključiti EDR ili antivirusnu zaštitu koja prati ponašanje procesa, ne samo poznate fajlove
- Pratiti neuobičajene pristupe browser procesima i pokušaje čitanja memorije
- Ograničiti čuvanje lozinki i session podataka u browserima na poslovnim računarima
- Proveriti mrežne logove i SIEM za navedene C2 indikatore kompromitacije
- Za naloge sa sumnjivom aktivnošću poništiti aktivne sesije i rotirati lozinke