Nova zlonamjerna alatka pod nazivom “123 | Stealer”, namijenjena krađi akreditacionih podataka, pojavila se na forumima podzemlja kibernetičkog kriminala. Prijetnju je ponudio akter “koneko” po cijeni od 120 američkih dolara mjesečno.
Ova ponuda zlonamjernog softvera kao usluge (MaaS) predstavlja najnoviju fazu u razvoju alatki za krađu informacija, kombinirajući napredne mogućnosti za isisavanje podataka sa interfejsom jednostavnim za korištenje. Stealer je usmjeren na širok spektar osjetljivih podataka, što ukazuje na rastuću komercijalizaciju alata za kibernetički kriminal. Prema oglasu na forumu, zlonamjerni softver prikuplja podatke iz pretraživača, kolačiće, pohranjene lozinke, informacije o novčanicima kriptovaluta i proširenja pretraživača. Akter prijetnje tvrdi da stealer može izvoditi i operacije preuzimanja procesa i datoteka, čineći ga svestranim alatom za operacije krađe podataka.
“123 | Stealer” je napisan u C++, što ukazuje na prioritet performansi i pristupa sistemu na niskom nivou. Alatka koristi arhitekturu bez DLL-ova, zapremine od približno 700 KB, što otežava otkrivanje od strane tradicionalnih antivirusnih rješenja koja se oslanjaju na metode detekcije ubrizgavanja dinamičkih biblioteka. Značajan aspekt je zahtjev za korištenjem proxy servera. Korisnici moraju uspostaviti vlastitu proxy infrastrukturu koristeći servere bazirane na Ubuntu ili Debianu, što ukazuje na sofisticiranu komandnu i kontrolnu arhitekturu. Ovaj pristup omogućava operaterima zlonamjernog softvera da održe operativnu sigurnost, dok teret distribucije infrastrukture prebacuju na kupce. Panel administracije otkriva opsežnu podršku za pretraživače, uključujući kompatibilnost s preko 70 proširenja za pretraživače. Stealer cilja na glavne pretraživače zasnovane na Chromiumu, kao što su Google Chrome, Opera i sam Chromium, kao i na pretraživače zasnovane na Gecko, poput varijanti Firefoxa. Popularne aplikacije, uključujući Discord, Battle.net i razne novčanike kriptovaluta, također su obuhvaćene opsegom zlonamjernog softvera.
Mjesečni model pretplate od 120 dolara pozicionira “123 | Stealer” u srednjem segmentu tržišta alatki za krađu informacija. Ova cjenovna strategija cilja i na početnike u kibernetičkom kriminalu i na iskusne aktere prijetnji koji traže pouzdane alate za isisavanje podataka. Model pretplate osigurava ponavljajuće prihode za autore zlonamjernog softvera, dok kupcima pruža kontinuirana ažuriranja i podršku. Oglas na forumu naglašava da su korisnici odgovorni za svaku detekciju ili događaje više sile, što ukazuje na pokušaj autora zlonamjernog softvera da ograniče svoju odgovornost. Dodatno, usluga izričito zabranjuje operacije u Rusiji, zemljama ZND-a i bivšim sovjetskim republikama, što je uobičajeno ograničenje među uslugama kibernetičkog kriminala. Trenutno, zlonamjerni softver nije dobio javne recenzije od drugih kibernetičkih kriminalaca na forumu, čineći njegovu stvarnu efikasnost neprovjerenom. Međutim, profesionalni prikaz sučelja za prijavu i sveobuhvatan administrativni panel sugeriraju značajna ulaganja u razvoj, što ukazuje da bi ovo mogla biti ozbiljna prijetnja, a ne operacija prijevare. Istraživači i organizacije za sigurnost bi trebali pratiti uzorke “123 | Stealer” i ažurirati signature detekcije kako bi se zaštitili od ove rastuće prijetnje.