Nova zlonamjerna alatka poznata kao “123 | Stealer” pojavila se na forumima za kibernetički kriminal, a nudi je akter prijetnje pod nadimkom “koneko” po cijeni od 120 američkih dolara mjesečno. Ova usluga zlonamjernog softvera kao usluge (MaaS) predstavlja najnoviju fazu razvoja u tehnologiji za krađu informacija, kombinujući sofisticirane mogućnosti izdvajanja podataka s korisničkim administrativnim sučeljem.
Ovaj alat za krađu cilja širok spektar osjetljivih podataka, što ukazuje na rastuću komercijalizaciju alata za kibernetički kriminal. Prema oglasu na forumu, zlonamjerni softver prikuplja podatke iz pretraživača, kolačiće, pohranjene lozinke, informacije o kripto novčanicima i proširenja pretraživača. Akter prijetnje tvrdi da alat također može izvoditi operacije prikupljanja procesa i datoteka, čineći ga svestranim za operacije krađe podataka.
“123 | Stealer” je kodiran u C++, što sugerira da su programeri prioritet dali performansama i pristupu sustavu na niskom nivou. Zlonamjerni softver koristi arhitekturu bez DLL-ova, težine oko 700 KB, što otežava njegovo otkrivanje od strane tradicionalnih antivirusnih rješenja koja se oslanjaju na metode otkrivanja ubacivanja DLL-ova. Značajan aspekt je zahtjev za proxy serverima; korisnici moraju uspostaviti vlastitu proxy infrastrukturu koristeći servere bazirane na Ubuntu ili Debianu, što ukazuje na sofisticiranu komandnu i kontrolnu (C2) arhitekturu. Ovaj pristup omogućava operaterima zlonamjernog softvera da održe operativnu sigurnost (OPSEC), dok teret distribucije infrastrukture prebacuju na kupce.
Administrativna ploča pokazuje opsežnu podršku za pretraživače, uključujući kompatibilnost s preko 70 proširenja pretraživača. Alat cilja glavne pretraživače temeljene na Chromiumu, kao što su Google Chrome, Opera i sam Chromium, kao i pretraživače temeljene na Gecko, poput varijanti Firefoxa. Popularne aplikacije, uključujući Discord, Battle.net i razne kripto novčanike, također su unutar dometa zlonamjernog softvera.
Model mjesečne pretplate od 120 američkih dolara pozicionira “123 | Stealer” u srednji segment tržišta alata za krađu informacija. Ova cjenovna strategija cilja kako početnike u kibernetičkom kriminalu, tako i iskusne aktere prijetnji koji traže pouzdane alate za izdvajanje podataka. Model pretplate osigurava stalni prihod za autore zlonamjernog softvera, dok kupcima pruža kontinuirana ažuriranja i podršku. Oglas na forumu naglašava da su korisnici odgovorni za bilo kakvo otkrivanje ili događaje više sile, što ukazuje na pokušaj autora zlonamjernog softvera da ograniče svoju odgovornost. Nadalje, usluga izričito zabranjuje operacije u Rusiji, zemljama ZND-a i bivšim sovjetskim republikama, što je uobičajeno ograničenje među uslugama kibernetičkog kriminala.
Trenutno, zlonamjerni softver nije dobio javne recenzije od drugih kibernetičkih kriminalaca na forumu, što čini njegovu stvarnu učinkovitost neprovjerenom. Međutim, profesionalna prezentacija sučelja za prijavu i opsežne administrativne ploče sugeriraju značajna ulaganja u razvoj, ukazujući da bi ovo mogla biti ozbiljna prijetnja, a ne operacija prijevare. Sigurnosni istraživači i organizacije bi trebali pratiti uzorke “123 | Stealer” i ažurirati svoje signature detekcije kako bi se zaštitili od ove nadolazeće prijetnje.
