Specjaliści ostrzegają, że nowe złośliwe oprogramowanie, które kradnie informacje, krąży w ciemnej sieci, starając się przyciągnąć nowych klientów usług i ofiary.
Badacze bezpieczeństwa cybernetycznego SEKOIA znaleźli wiele reklam, różne ukryte fora dyskusyjne i zestawy telegramów promujących nowego złodzieja informacji o nazwie Stealc.
Najwyraźniej Stealc nie jest tworzony od zera, ale raczej ulepszeniem innych, bardziej popularnych narzędzi do kradzieży informacji, takich jak Vidar, Racoon, Mars i Redline Stealer, które po raz pierwszy zauważono w pierwszym miesiącu XNUMX r., a następnie zyskały na sile w następnym miesiącu.
cotygodniowe aktualizacje
Stealc został zbudowany i reklamowany przez groźnego aktora o imieniu „Plymouth”. Obecnie jest w wersji trzynastej i wydaje się, że otrzymuje nowe poprawki i aktualizacje co najmniej raz w tygodniu.
Niektóre z ostatnio dodanych funkcji obejmują generator randomizacji adresów URL C2 oraz ulepszony system wyszukiwania i sortowania rekordów. Widziano też Stealca usprawiedliwiającego Ukraińców.
Po dokładniejszym zbadaniu próbki narzędzia kradnącego informacje firma SEKOIA odkryła, że korzysta z legalnych plików DLL innych firm, jest napisana w C i nadużywa funkcji API systemu Windows, jest lekka (tylko 4 KB), uparta i uparta w większości ciągów z RC64 i baseXNUMX i automatycznie wyodrębnia skradzione pliki (aktor nie wymaga żadnych działań).
SEKOIA odkryła również, że Stealc był w stanie ukraść dane z XNUMX przeglądarek internetowych, XNUMX wtyczek i XNUMX portfeli komputerowych.
Oprócz ogłoszenia go w ciemnej sieci, Plymouth był również zajęty wdrażaniem go na urządzenia docelowe (otwiera się w nowej karcie). Jednym ze sposobów, w jaki to robią, jest tworzenie fałszywych samouczków YouTube na temat łamania oprogramowania i umieszczanie w opisie łącza, które zamiast reklamowanego cracka zawiera narzędzie do kradzieży informacji.
Jak dotąd odkryto ponad czterdzieści serwerów C2, co doprowadziło naukowców do wniosku, że popularność Stealc rośnie. Spekulują, że popularność wynika z faktu, że przestępcy, którzy mogą uzyskać dostęp do panelu administracyjnego, mogą po prostu tworzyć nowe próbki złodzieja, zwiększając swój zasięg.
SEKOIA uważa, że Stealc może stać się bardzo popularny, ponieważ może być również zaadaptowany przez hakerów niskiego poziomu.
Przez: BleepingComputer (otwiera się w nowej karcie)