Istraživači sajber sigurnosti identifikovali su novi maliciozni softver za krađu informacija nazvan “PupkinStealer”, koji cilja osjetljive korisničke podatke putem jednostavnog, ali učinkovitog pristupa.
Prvi put uočen u aprilu 2025. godine, ovaj maliciozni softver zasnovan na .NET-u, napisan u C#, fokusira se na krađu podataka za pretraživač, sesija aplikacija za razmjenu poruka i datoteka na radnoj površini, izvlačeći podatke putem Telegramovog Bot API-ja.
Stručnjaci za sigurnost napominju da PupkinStealerova jednostavnost i korištenje legitimnih platformi za operacije komandovanja i kontrole čine ga značajnom prijetnjom, posebno zato što mu nedostaju sofisticirane funkcije protiv analize koje bi obično aktivirale sigurnosna rješenja.
PupkinStealer funkcioniše kao lagani 32-bitni izvršni program veličine datoteke od samo 6,21 MB, razvijen korišćenjem .NET frameworka i C#-a. Uprkos relativno malom opsegu, maliciozni softver pokazuje značajne mogućnosti prikupljanja podataka.
PupkinStealer napada Windows sistem
Sigurnosni istraživači su utvrdili da PupkinStealer cilja određeni raspon osjetljivih informacija, uključujući spremljene lozinke i kolačiće iz web pretraživača, podatke o sesijama s platformi za razmjenu poruka poput Telegrama i Discorda, te odabrane datoteke na radnoj površini s određenim ekstenzijama.
Nakon izvršavanja, maliciozni softver kreira komprimiranu ZIP arhivu koja sadrži sve ukradene podatke, obogaćene metapodacima žrtve, uključujući korisničko ime, javnu IP adresu i Windows Security Identifier.
Dizajn malicioznog softvera daje prioritet kompatibilnosti između x86 i x64 okruženja, koristeći Costura biblioteku za ugradnju komprimiranih DLL-ova.
Za razliku od sofisticiranijih sojeva malicioznih softvera koji koriste opsežne tehnike izbjegavanja, PupkinStealer se oslanja na jednostavne metode izvršavanja i odsustvo mehanizama perzistentnosti, što sugeriše pristup “udari i bježi” osmišljen kako bi se minimiziralo otkrivanje tokom kratkog operativnog prozora.
Maliciozni softver snima ekran radne površine žrtve u JPG formatu veličine 1920×1080, pružajući napadačima dodatne kontekstualne informacije o kompromitovanom sistemu.
Dizajn PupkinStealera ukazuje na to da je kreiran za manje sofisticirane hakere, potencijalno distribuisanih putem modela malicioznog softvera kao usluge (MaaS) koji omogućavaju brzu monetizaciju kroz krađu akreditiva i preprodaju podataka.
PupkinStealerovo korištenje Telegramovog Bot API-ja za komandovanje i kontrolu i krađu podataka predstavlja rastući trend među sajber kriminalcima koji koriste legitimne platforme za miješanje malicioznog prometa s normalnom komunikacijom.
Prema istraživačima sigurnosti, maliciozni softver koji koristi Telegram kao C2 kanal obično koristi Telegram Bot API za komunikaciju, omogućavajući napadačima da održe kontrolu dok skrivaju svoje aktivnosti unutar legitimnih obrazaca prometa.
Istraživači su identifikovali značajnu manu u Telegramovom Bot API-ju koju PupkinStealer iskorištava: sve prethodne bot poruke može reproducirati protivnik sposoban presresti i dešifrirati HTTPS promet.
Za razliku od regularnih Telegram poruka koje koriste MTProto enkripciju platforme, komunikacija botova putem API-ja zaštićena je samo HTTPS slojem, što stvara sigurnosnu ranjivost.
Maliciozni softver izvlači ukradene podatke slanjem komprimirane arhive Telegram botu putem posebno kreiranog API URL-a, s natpisima koji detaljno opisuju žrtve i označavaju uspjeh modula kako bi se poboljšala efikasnost obrade podataka.
Ovaj pristup omogućava napadačima da izbjegnu tradicionalna rješenja za nadzor mreže skrivanjem unutar prometa prema popularnoj platformi za razmjenu poruka.
“Vatreni” programer s mogućim ruskim vezama
Istraživači sajber sigurnosti pripisuju PupkinStealer programeru poznatom kao “Ardent” na osnovu ugrađenih kodnih nizova pronađenih tokom analize.
Prisustvo teksta na ruskom jeziku u metapodacima Telegram bota, uključujući termin “kanal” (ruski za “kanal”), ukazuje na moguće rusko porijeklo, iako nije potvrđeno konačno geografsko ciljanje.
Ove informacije o atribuciji dolaze usred rastuće zabrinutosti zbog ransomwarea i kampanja krađe informacija koje potiču od istočnoevropskih cyber kriminalnih grupa.
Pojava PupkinStealera naglašava promjenjivi pejzaž prijetnji u kojem se autori malicioznog softvera sve više fokusiraju na jednostavnost i legitimnu zloupotrebu platforme, a ne na sofisticirane tehničke karakteristike.
Njegov fokus na podatke vezane za e-trgovinu, uključujući podatke o pristupnim podacima preglednika i sesije finansijskih platformi, predstavlja značajan rizik za online trgovce i njihove kupce.
Stručnjaci za sigurnost preporučuju da organizacije implementiraju višefaktorsku autentifikaciju, redovno provjeravaju pristup aplikacija trećih strana platformama za razmjenu poruka i održavaju robusnu zaštitu krajnjih tačaka kako bi se odbranile od ove nove prijetnje.
Kao što PupkinStealer pokazuje, moderni maliciozni softver više ne zahtijeva složen kod za efikasnu krađu osjetljivih informacija – ponekad se najjednostavniji pristupi pokažu najtežima za otkrivanje.
| Stavka | Detalji |
|---|---|
| Primjer zlonamjernog softvera | PupkinStealer |
| Primjer heša | 9309003c245f94ba4ee52098dadbaa0d0a4d83b423d76c1bfc082a1c29e0b95f |
| Naredba za pretraživanje | $ polyswarm link list -f PupkinStealer |
Izvor: CyberSecurityNews
