• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Новый вредонос Stealc предоставляет широкий набор возможностей для кражи данных

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

В даркнете появился новый инфостилер под названием Stealc, который набирает обороты благодаря агрессивному продвижению возможностей для кражи данных и сходству с вредоносными программами Vidar, Raccoon, Mars и Redline.

Исследователи безопасности из компании SEKOIA, занимающейся обнаружением киберугроз, выявили новый штамм вредоносного ПО в январе этого года, а пик его активности пришёлся на февраль.

Stealc рекламировался на хакерских форумах русскоязычным пользователем под ником «Plymouth». Хакер описал широкие возможности программы для кражи данных, а также отметил простую в использовании панель администрирования.

По словам Plymouth, помимо обычного таргетинга данных веб-браузера, расширений и криптовалютных кошельков, Stealc также может быть настроен на любые типы пользовательских файлов, которые оператор пожелает украсть. Автор открыто заявил, что при разработке Stealc использовались наработки популярных вредоносов Vidar, Raccoon, Mars и Redline. Программа также продвигалась в закрытых Telegram-каналах с возможностью опробовать тестовые образцы перед покупкой.

Исследователи обнаружили одну общую черту, которая объединяет Stealc с вышеупомянутыми Vidar, Raccoon, Mars и Redline. Все они загружают законные сторонние «.dll» библиотеки (например sqlite3.dll, nss3.dll) для похищения пользовательских файлов.

Исследователи SEKOIA обнаружили более 40 активных C2-серверов Stealc и несколько десятков экземпляров в дикой природе (ITW). Это указывает на то, что новая вредоносная программа привлекла неслабый интерес сообщества киберпреступников.

При развертывании вредоносная программа деобфусцирует свои строки и выполняет антианалитические проверки, чтобы убедиться, что она запускается не в виртуальной или изолированной среде. Затем она динамически загружает функции WinAPI и инициирует связь с C2-сервером, отправляя аппаратный идентификатор жертвы и название сборки, получая в ответ нужную конфигурацию.

После этого Stealc собирает данные из всех целевых браузеров, расширений и приложений, запускает захват пользовательских файлов, а затем выгружает их на C2-сервер. После завершения данного этапа вредоносная программа удаляет себя и загруженные ей DLL-файлы с устройства, чтобы стереть любые следы заражения.

Один из методов распространения, который наблюдали исследователи, — фишинговые веб-сайты, на которых потенциальным жертвам предлагалось скачать взломанное программное обеспечение. Разумеется, в данное ПО был встроен вредонос Stealc.

SEKOIA также поделилась большим набором индикаторов компрометации, которые смогут использовать компании, разрабатывающие антивирусные продукты, для добавления вредоносного ПО в свои базы.

Учитывая наблюдаемый способ распространения вредоноса, пользователям рекомендуется избегать установки пиратского программного обеспечения и загружать любые продукты только с официальных сайтов.
 
Сверху