Deep#Door Stealer erbeutet Browserpasswörter, Cloud-Tokens, SSH-Schlüssel und WLAN-Zugangsdaten

Sicherheitslage und Risiko

Bevor es die Python-Hintertür einsetzt, umgeht DEEP#DOOR auch Laufzeit-Verteidigungen, indem es SmartScreen deaktiviert, AMSI und ETW patcht, Ereignisprotokolle löscht und Timestamp Stomping verwendet, um seine Aktivitäten zu verbergen.

Die Malware integriert außerdem Sandbox-Erkennung, Unhooking, Windows Defender-Manipulation und das Entfernen.

Prozessablauf (Quelle – Securonix) Das resultierende Implantat funktioniert als voll ausgestattetes Remote Access Tool, das langfristige Persistenz, laterale Bewegung und Post-Exploitation in kompromittierten Umgebungen ermöglicht.

Moegliche Anwendungen

Diese Kombination aus Umgehung und Fernsteuerung macht DEEP#DOOR außerordentlich schwer zu erkennen, sobald es sich in einem Netzwerk etabliert hat. Wie DEEP#DOOR Ihre Anmeldeinformationen stiehlt Die schädlichste Fähigkeit #DOOR ist seine breitbandige Engine zur Ernte.

Es zielt systematisch auf im Browser gespeicherte Passwörter, Cloud-Authentifizierungstoken, sensible Umgebungsinformationen und SSH-Zugriffsschlüssel ab, was laterale Bewegung und Kontoübernahme über die Zielinfrastruktur ermöglicht.

Der Stealer ruft die Funktionen get_chrome_cred() und get_edge_cred() auf, um auf die SQLite-Datenbanken der Browser zuzugreifen und gespeicherte Anmeldedaten zu extrahieren. Eine dedizierte Funktion get_ssh_key() entdeckt und exfiltriert private SSH-Schlüssel, die für den Fernzugriff auf Server verwendet werden.

Sicherheitslage und Risiko

Die Malware führt außerdem get_cloud_cred() aus, um Konfigurationsdateien und Umgebungsvariablen nach AWS-, Azure- und GCP-Anmeldeinformationen zu durchsuchen. Zusätzlich scannt get_wifi_cred() den Windows Credential Manager und zugehörige Registry-Standorte, um gespeicherte WLAN-Passwörter zu ziehen.

Startup folder (Source – Securonix) Diese mehrvektorale Sammlung bedeutet, dass eine einzige Infektion die gesamte Zugriffsfläche eines gesamten Unternehmens mit einem einzigen Zug entblößen kann.

Sobald diese Anmeldeinformationen in Hände des Angreifers gelangen, wird der Wiedereintritt in das Netzwerk trivial, selbst nachdem die Malware auf dem ursprünglichen Host erkannt und entfernt wurde. Organisationen und Sicherheitsteams sollten die folgenden Schritte anwenden, um die Exposition durch DEEP#DOOR zu reduzieren.

Technik und Auswirkungen

Öffnen Sie keine unbekannten Batch-Dateien oder Skript-Anhänge, insbesondere solche, die per E-Mail oder über geteilte Links empfangen wurden. Überwachen Sie auf ungewöhnliche PowerShell- und cmd.exe-Aktivitäten in Kombination mit Base64-kodierten Befehlen.

Überprüfen Sie regelmäßig die Registry Run-Schlüssel, Startordner und geplanten Aufgaben auf unbefugte Einträge. Aktivieren Sie den Schutz vor Manipulation, um zu verhindern, dass die Malware integrierte Sicherheitsfunktionen deaktiviert.

Rotieren Sie Cloud-Authentifizierungstoken und SSH-Schlüssel regelmäßig nach jedem vermuteten Kompromittierung. Implementieren Sie Netzwerküberwachung, um verdächtigen ausgehenden Tunnelverkehr über nicht standardmäßige Ports zu erkennen.

Untersuchen Sie jeden Prozess, der unerwartete

Untersuchen Sie jeden Prozess, der unerwartete Aufrufe, Mikrofon oder Bildschirmaufnahmen tätigt. Isolieren Sie betroffene Systeme umgehend und führen Sie eine forensische Analyse durch, um Pfade seitlicher Bewegung zu identifizieren.

Da DEEP#DOOR auf Python-basierte Ausführung und verschleierte Skripte und nicht auf kompilierte Binärdateien angewiesen ist, bieten herkömmliche Antiviren-Tools möglicherweise nur begrenzten Schutz.

Verhaltensanalytik und Anomalieerkennung sollten die primäre Verteidigungsschicht für Organisationen darstellen, die sich vor sich entwickelnden Bedrohungen dieser Art schützen möchten. Sie uns auf

Der Beitrag Deep#Door Stealer Harvests Browser Passwords, Cloud Tokens, SSH Keys, and Wi-Fi Credentials erschien zuerst bei