Hoe verwijdert u VoidStealer van geïnfecteerde systemen

Wat voor soort malware is VoidStealer?

VoidStealer is een soort malware die gevoelige gegevens uit browsers steelt. Het maakt gebruik van een op een debugger gebaseerde methode om de beveiliging van de browser (Application-Bound Encryption) te omzeilen door het geheugen te monitoren terwijl de browser actief is. Hierdoor kan het versleutelingssleutels onderscheppen zonder dat daarvoor speciale rechten nodig zijn of code hoeft te worden geïnjecteerd. Hierdoor is het voor beveiligingsprogramma’s moeilijker om het te detecteren.

Inleiding

Application-Bound Encryption (ABE) is een beveiligingsmechanisme dat gevoelige gegevens (zoals opgeslagen wachtwoorden) versleutelt, zodat alleen de browser er toegang toe heeft. Deze beveiligingsfunctie werd in 2024 aan Google Chrome toegevoegd. VoidStealer is de eerste bekende malware-as-a-service (MaaS)-infostealer waarvan is vastgesteld dat deze een methode gebruikt om ABE te omzeilen.

VoidStealer kent meerdere versies, en deze omzeilingstechniek is toegevoegd in versie 2.0 van de malware. De stealer maakt gebruik van twee verschillende methoden om de browserbeveiliging te omzeilen, voor het geval de ene niet werkt. De eerste methode is algemeen bekend en houdt in dat er code in het browserproces wordt geïnjecteerd, maar dit kan gemakkelijk worden gedetecteerd door beveiligingstools.

De tweede methode is nieuwer en werkt meer op de achtergrond, aangezien deze alleen het geheugen van de browser uitleest en zich als debugger koppelt. Hierdoor valt deze methode minder op en is deze moeilijker op te sporen. In Google Chrome worden opgeslagen wachtwoorden en andere gevoelige gegevens versleuteld en opgeslagen in een lokale database. Deze gegevens worden bewaard in een SQLite-databasebestand op het systeem, dat zich doorgaans in de map AppData bevindt.

Over het algemeen worden wachtwoorden zo beveiligd dat alleen de browser (en geautoriseerde processen) ze kunnen lezen. Application-Bound Encryption (ABE) beveiligt een geheime sleutel met behulp van de hoogste systeemrechten in Windows. Chrome draait zelf als een gewone gebruiker en heeft dus geen directe toegang tot deze sleutel.

Om dit op te lossen, maakt Chrome gebruik van een speciale achtergronddienst die met hogere rechten draait, zodat de sleutel indien nodig veilig kan worden ontgrendeld. Wanneer Chrome hierom vraagt, controleert de dienst het verzoek en geeft vervolgens de gedecodeerde sleutel terug. Chrome gebruikt deze sleutel vervolgens om gevoelige gegevens, zoals wachtwoorden en cookies, te versleutelen en te ontsleutelen.

Informatiedieven zouden de beveiliging kunnen omzeilen door met volledige rechten te draaien, maar dat lukt slechts in bepaalde gevallen. Ze kunnen zich ook in Chrome nestelen om de sleutel op te vragen, maar dat is voor beveiligingsprogramma’s gemakkelijker te detecteren. Chrome beschermt de sleutel door deze slechts kort in het geheugen te bewaren en te versleutelen.

VoidStealer maakt gebruik van dat korte moment door het geheugen van de browser te controleren met behulp van een debugger en de sleutel te onderscheppen, zonder dat daarvoor uitgebreide rechten of code-injectie nodig zijn.

Hoe de techniek werkt

VoidStealer richt zich op browsers zoals Google Chrome en Microsoft Edge. Het start een verborgen browserproces en voegt zichzelf toe als een debugger. Dit gebeurt omdat de browser tijdens het opstarten beveiligde gegevens, zoals cookies, laadt en ontsleutelt. Op dat moment is de geheime sleutel kortstondig beschikbaar in het geheugen, waardoor dit het ideale moment is voor de malware om deze te onderscheppen.

VoidStealer plaatst breekpunten en houdt het proces in de gaten totdat het precies dat moment bereikt, waarna het de sleutel rechtstreeks uit het geheugen haalt. Met deze sleutel kan het gevoelige gegevens, zoals opgeslagen wachtwoorden en cookies, ontsleutelen en openen. Cybercriminelen kunnen deze informatie voor diverse kwaadaardige doeleinden misbruiken.

Ze kunnen deze gegevens gebruiken om toegang te krijgen tot accounts (bijvoorbeeld sociale media of bankrekeningen), persoonlijke gegevens te stelen of fraude te plegen. Ze kunnen gekaapte accounts ook gebruiken om malware en oplichting te verspreiden. In sommige gevallen verkopen ze de gestolen gegevens aan anderen op het dark web.

Conclusie

VoidStealer is een soort malware die is ontworpen om gevoelige informatie uit browsers te stelen. Het maakt gebruik van geavanceerde technieken om beveiligingsmaatregelen te omzeilen en toegang te krijgen tot opgeslagen gegevens, zoals wachtwoorden en cookies. Dit maakt het een ernstige bedreiging, omdat het onopgemerkt kan opereren en detectie kan ontwijken.

Enkele voorbeelden van andere stealers zijn BoryptGrab, MaskGramStealer en Xillen.

Hoe is VoidStealer op mijn computer terechtgekomen?

Cybercriminelen maken vaak misbruik van beveiligingslekken in verouderde software of verspreiden malware via illegale programma’s, niet-officiële activeringstools en sleutelgeneratoren. Andere veelvoorkomende methoden zijn oplichting via zogenaamde technische ondersteuning, misleidende e-mails of berichten met schadelijke links of bijlagen, en kwaadaardige advertenties.

Malware kan ook worden verspreid via geïnfecteerde USB-sticks, valse of gehackte websites, peer-to-peer (P2P)-netwerken voor het delen van bestanden en downloadprogramma’s van derden. Aanvallers verbergen de malware doorgaans in bestanden zoals uitvoerbare bestanden, gecomprimeerde archieven, scripts of documenten zoals pdf’s en Office-bestanden, die systemen kunnen infecteren zodra ze worden geopend of er verdere stappen worden ondernomen.

Hoe voorkom je dat er malware wordt geïnstalleerd?

Houd uw besturingssysteem en alle geïnstalleerde programma’s up-to-date en download software en bestanden via officiële websites of gerenommeerde app-winkels. Klik niet op verdachte advertenties, pop-ups of onbekende links, vooral niet op onbetrouwbare websites, en sta geen meldingen toe van dubieuze pagina’s.

Wees op uw hoede voor onverwachte e-mails of berichten van onbekende afzenders – open geen bijlagen en klik niet op links, tenzij u zeker weet dat ze veilig zijn. Gebruik betrouwbare beveiligingsprogramma’s om regelmatig scans uit te voeren en mogelijke bedreigingen op te sporen.

Als u denkt dat uw computer al besmet is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om de binnengedrongen malware automatisch te verwijderen.

VoidStealer wordt gepromoot op een hackerforum (bron: gendigital.com):

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is VoidStealer?
• STAP 1. Handmatige verwijdering van de VoidStealer-malware.
• STAP 2. Controleer of uw computer vrij is van virussen.

Hoe verwijder je malware handmatig?

Het handmatig verwijderen van malware is een ingewikkelde klus – meestal kunt u dit het beste automatisch laten uitvoeren door antivirus- of antimalwareprogramma’s. Om deze malware te verwijderen, raden we aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam achterhalen van de malware die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Als u bijvoorbeeld via Taakbeheer de lijst met programma’s hebt bekeken die op uw computer actief zijn en een programma hebt gevonden dat verdacht lijkt, volgt u deze stappen:

Download het programma Autoruns. Dit programma toont programma’s die automatisch starten, evenals de locaties in het register en het bestandssysteem:

Start je computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat het menu met geavanceerde Windows-opties verschijnt, en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video waarin wordt getoond hoe je Windows 7 opstart in de "Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 8: Start Windows 8 op in de veilige modus met netwerkmogelijkheden – Ga naar het startscherm van Windows 8, typ ‘Geavanceerd’ en selecteer ‘Instellingen’ in de zoekresultaten. Klik op ‘Geavanceerde opstartopties’ en selecteer ‘Geavanceerd opstarten’ in het venster ‘Algemene pc-instellingen’ dat wordt geopend.

Klik op de knop "Nu opnieuw opstarten". Uw computer wordt nu opnieuw opgestart en opent het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm 'Opstartinstellingen' verschijnt. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video waarin wordt getoond hoe je Windows 8 opstart in de "Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 10: Klik op het Windows-logo en selecteer het pictogram 'Stroombeheer'. Klik in het menu dat verschijnt op 'Opnieuw opstarten' terwijl je de 'Shift'-toets op je toetsenbord ingedrukt houdt. Klik in het venster 'Kies een optie' op 'Problemen oplossen' en selecteer vervolgens 'Geavanceerde opties'.

Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de "F5"-toets op uw toetsenbord drukken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Video waarin wordt getoond hoe je Windows 10 opstart in de "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in het programma Autoruns bovenaan op „Opties“ en schakel de opties „Lege locaties verbergen“ en „Windows-vermeldingen verbergen“ uit. Klik daarna op het pictogram „Vernieuwen“.

Bekijk de lijst die door het programma Autoruns wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

Noteer het volledige pad en de naam. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het van groot belang dat u geen systeembestanden verwijdert. Zodra u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".

Nadat u de malware via het programma Autoruns hebt verwijderd (dit zorgt ervoor dat de malware niet automatisch wordt gestart bij de volgende systeemstart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, verwijder deze dan.

Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet bezit, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma’s.

Deze stappen werken mogelijk niet bij ernstige malware-infecties. Zoals altijd is het beter om infecties te voorkomen dan achteraf malware te verwijderen. Om uw computer te beveiligen, moet u de nieuwste updates voor het besturingssysteem installeren en antivirussoftware gebruiken. Om er zeker van te zijn dat uw computer vrij is van malware, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met de malware VoidStealer. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Het resetten of wissen van een apparaat is een effectieve manier om malware te verwijderen. Hierbij worden echter ook alle gegevens gewist als er geen back-up van is gemaakt. Het wordt aanbevolen om eerst te proberen VoidStealer te verwijderen met behulp van een beveiligingsprogramma zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan tot allerlei problemen leiden, zoals financieel verlies of identiteitsdiefstal, maar ook tot diefstal van persoonsgegevens. Daarnaast kan malware de controle over een apparaat overnemen en belangrijke bestanden beschadigen of verwijderen.

Wat is het doel van VoidStealer?

Het doel van VoidStealer is om gevoelige informatie van de computer van een gebruiker te stelen, met name uit webbrowsers. Het programma is ontworpen om zaken als opgeslagen wachtwoorden, cookies en inloggegevens te verzamelen, zodat aanvallers toegang kunnen krijgen tot accounts of andere kwaadaardige acties kunnen ondernemen.

Hoe is VoidStealer op mijn apparaat terechtgekomen?

Cybercriminelen verspreiden malware door misbruik te maken van verouderde software en door gebruik te maken van illegale programma’s, valse activeringstools en sleutelgeneratoren. Ze maken ook gebruik van phishing-e-mails, kwaadaardige advertenties en oplichting via zogenaamde technische ondersteuning. Daarnaast kan malware afkomstig zijn van geïnfecteerde USB-sticks, valse websites, P2P-netwerken en downloadtools van derden, en zit deze vaak verborgen in bestanden zoals uitvoerbare bestanden, archieven, scripts of documenten.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan de meeste bekende malware opsporen en verwijderen. Sommige geavanceerde bedreigingen kunnen zich echter diep in het systeem verschuilen. Daarom is het belangrijk om een volledige systeemscan uit te voeren, zodat alles wordt opgespoord en verwijderd.