Airstalk malware
A Palo Alto Networks Unit 42 azonosította az Airstalk nevű, új Windows-alapú malware-családot, amelyet gyaníthatóan állami támogatású támadók használnak ellátásilánc-támadásokban (supply chain attack) böngészőadat-lopásra és titkos kommunikációs csatornák kialakítására. A kártevő két változatban létezik, PowerShell és .NET alapú, és a VMware AirWatch API-ját (egy mobil eszközkezelő megoldás) használja fel a C2 kommunikációhoz, így nehezen észrevehető, mert legitim forgalmat utánoz.
Az Airstalk az MDM API-hívásait használják fel, hogy rejtett csatornákon keresztül kommunikáljanak a fertőzött gépekkel, és lopják el a böngészőben tárolt hitelesítő adatokat, jelszavakat és sütiket. A kártevő többszálas C2-kommunikációt alkalmaz, ami nehezíti a felismerését és blokkolását a hagyományos biztonsági megoldások számára.A Palo Alto Networks CL-STA-1009 kódnévvel követi az ehhez a támadáshoz kapcsolódó tevékenységet, és gyanítja, hogy állami támogatású csoport áll a háttérben. A kártevő nem csak adatlopásra, hanem hosszú távú jelenlétre is törekszik a fertőzött rendszerekben, és a lopott adatokat vagy kémkedési célokra, vagy további támadásokhozhasználja fel. A kártevő felismerése és védekezés ellene nehéz, mert a legitim MDM-forgalmat utánozza, és a hagyományos antivírus-megoldások gyakran nem észlelik.
