Специалисты предупредили, что в даркнете циркулирует новое вредоносное ПО, которое крадет информацию и пытается привлечь новых клиентов и жертв.
Исследователи кибербезопасности SEKOIA обнаружили множество рекламных объявлений, различных стелс-форумов и наборов телеграмм, рекламирующих новый инструмент для кражи информации под названием Stealc.
Судя по всему, Stealc создан не на пустом месте, а представляет собой обновление других более популярных похитителей информации, таких как Vidar, Racoon, Mars и Redline Stealer, которые впервые были замечены в первом месяце 2023 года, но затем набрали большую силу в следующем. месяц.
еженедельные обновления
Stealc был построен и рекламирован грозным актером по имени «Плимут». В настоящее время используется тринадцатая версия, и, похоже, новые настройки и обновления появляются как минимум раз в неделю.
Некоторые из недавно добавленных функций включают рандомизатор URL-адресов C2 и улучшенную систему поиска и сортировки записей. Также было замечено, что Стилц оправдывал украинцев.
После дальнейшего изучения образца похитителя информации компания SEKOIA обнаружила, что он использует законные сторонние DLL-файлы, написан на C и злоупотребляет функциями Windows API, имеет небольшой вес (всего восемьдесят КБ), скрывает большинство своих строк с помощью RC4 и base64 и автоматически извлекает украденные файлы (от злоумышленника не требуется никаких действий).
SEKOIA также обнаружила, что Stealc может украсть данные из двадцати двух веб-браузеров, семидесяти пяти надстроек и двадцати пяти настольных кошельков.
Помимо анонса в даркнете, Плимут также был занят распространением его на целевые устройства (откроется в новой вкладке). Один из способов сделать это — создать на YouTube поддельные обучающие программы по взлому программного обеспечения и предоставить в описании ссылку, которая вместо рекламируемого кряка включает в себя похитителя информации.
На данный момент обнаружено более сорока серверов C2, что позволяет исследователям прийти к выводу, что популярность Stealc растет. По их мнению, популярность обусловлена тем, что преступники, получившие доступ к административной панели, могут просто создавать новые воровские образцы, увеличивая свой охват.
SEKOIA считает, что Stealc может стать очень популярным, поскольку его также могут использовать хакеры низкого уровня.
Через: BleepingComputer (откроется в новой вкладке)