Novi identifikovani malware za krađu informacija, nazvan PupkinStealerRazvijen u C# koristeći .NET framework, ovaj lagani, ali efikasni malware cilja osjetljive korisničke podatke, uključujući kredencijale iz pretraživača, fajlove sa desktopa, sesije iz aplikacija za razmjenu poruka i snimke ekrana.
Prema detaljnoj analizi CYFIRMA, koja je podijeljena sa Cyber Security News, PupkinStealer koristi Telegram-ovu Bot API za diskretnu eksfiltraciju podataka, što ukazuje na rastući trend iskorišćavanja legitimnih platformi za maliciozne svrhe.
Prvi put je uočen u aprilu 2025. godine, PupkinStealer je jednostavan infostealer koji cilja specifične podatke, što ga razlikuje od drugih, manje selektivnih malicioznih softvera.
Njegova zavisnost od Telegram-a za komandno-upravljačku funkcionalnost usklađena je s rastućom popularnošću ove platforme među cyberkriminalcima zbog njene anonimnosti i jednostavnosti korišćenja. CYFIRMA pripisuje razvoj ovog malware-a programeru poznatom kao “Ardent”, prema ugrađenim kodnim stringovima.
Ključne osobine i sposobnosti
PupkinStealer je dizajniran za brzo prikupljanje podataka i radi s minimalnim obfuscation (skrivanjem) ili mehanizmima za postojanost, prioritet stavljajući na brzu izvršnost nego na dugoročnu diskreciju. Njegove osnovne funkcionalnosti uključuju:
- Malware izvlači i dešifruje spremljene login kredencijale iz Chromium-baziranih pretraživača, kao što su Google Chrome, Microsoft Edge, Opera, Opera GX i Vivaldi.
- Izvlači ključeve za dešifrovanje iz “Local State” fajlova pretraživača i koristi Windows Data Protection API za dešifrovanje lozinki pohranjenih u SQLite bazama podataka “Login Data”.
- PupkinStealer skenira desktop žrtve u potrazi za fajlovima sa specifičnim ekstenzijama (.pdf, .txt, .sql, .jpg, .png) i kopira ih u privremeni direktorijum radi eksfiltracije.
- Malware cilja Telegram kopirajući tdata folder koji sadrži sesijske fajlove koji omogućavaju pristup računu bez unosa kredencijala. Takođe izvlači Discord autentifikacione tokene iz leveldb direktorijuma koristeći regularne izraze, omogućavajući napadačima da se lažno predstave kao žrtva.
- PupkinStealer pravi snimak ekrana desktopa žrtve u rezoluciji 1920×1080 i sprema ga kao .jpg fajl za eksfiltraciju.
- Svi ukradeni podaci kompresuju se u ZIP arhivu sa ugrađenim metapodacima (korisničko ime, javna IP adresa i Windows Security Identifier) i šalju se na Telegram bot kontrolisan od strane napadača putem izrađene API URL adrese.
Tehnička analiza
PupkinStealer je 32-bitna GUI aplikacija za Windows sa veličinom fajla od 6,21 MB. Njegov SHA-256 hash i napisan je u .NET-u sa AnyCPU arhitekturom, što znači da je kompatibilan sa x86 i x64 okruženjima.
Malware koristi Costura biblioteku za ugradnju kompresovanih DLL-ova, što doprinosi visokom entropijskom nivou (7.998) u .text sekciji, uprkos tome što ne koristi tradicionalno pakovanje.
Po izvršenju, .NET runtime inicijalizuje Common Language Runtime (CLR) i poziva Main() metodu malware-a, koja orkestrira asinhrone zadatke za prikupljanje podataka. Ključni komponeneti uključuju:
- ChromiumPasswords Klasa: Rukuje ekstrakcijom kredencijala stvarajući specifične tekstualne fajlove za svaki pretraživač (npr. Chrome.txt, Edge.txt) u privremenom direktorijumu (%TEMP%[username]\Passwords) i dešifruje lozinke koristeći AES-GCM.
- FunctionsForStealer i FunctionsForDecrypt Klase: Prikupljaju i dešifruju ključne podatke iz Local State fajlova, omogućavajući pristup šifrovanim lozinkama.
- GrabberDesktop Metoda: Kopira fajlove sa desktopa u direktorijum DesktopFiles, filtrirajući ih po unaprijed definisanim ekstenzijama i tiho obrađujući greške kako bi izbjegao otkrivanje.
- Telegram i Discord Moduli: Lokacija i eksfiltracija sesijskih podataka i autentifikacionih tokena, sa Telegram-ovim tdata folderom koji se kopira rekurzivno i Discord tokeni koji se izvlače pomoću regularnih izraza.
- Screenshot i rutine za kompresiju: Pravi snimke ekrana desktopa i kompresuje sve ukradene podatke u ZIP arhivu koristeći CP866 kodiranje i maksimalnu kompresiju (nivo 9).
Eksfiltracija putem Telegram-a
PupkinStealer eksfiltrira podatke na Telegram bot pod imenom botKanal (korisničko ime: botkanalchik_bot), što je vjerovatno izvedeno od ruske riječi “kanal” (kanal).
Bot prima ZIP arhive putem Telegram Bot API-ja, sa opisima koji sadrže detaljne informacije o žrtvi, uključujući korisnička imena, IP adrese, SID-ove i oznake uspjeha modula.
„Atributivni string malware-a, ‘Coded by Ardent’, sugeriše da se razvija od strane programera pod ovim aliasom, uz dodatne naznake koje ukazuju na mogući ruski izvor na temelju ruskog jezika u povezanim Telegram metapodacima“, kaže CYFIRMA za Cyber Security News.
Jednostavnost malware-a i nedostatak naprednih anti-analitičkih odbrana čini ga dostupnim alatom za manje sofisticirane prijetnje. On se uklapa u širi trend modularnih, nisko-kompleksnih infostealera dostupnih putem modela malware-a kao usluge, omogućavajući brzu monetizaciju putem krađe kredencijala, preuzimanja sesija i prodaje podataka na dark web tržištima.
Preporuke za mitigaciju
Jednostavan dizajn PupkinStealer-a naglašava potrebu za robusnim praksama sajber bezbjednosti kako bi se suprotstavili ovakvim prijetnjama. Organizacije i pojedinci mogu smanjiti rizik slijedeći ove mjere:
- Svijest korisnika: Budite oprezni sa fajlovima iz nepouzdanih izvora i izbjegavajte klikiranje na sumnjive linkove, posebno one koji promoviraju sumnjiv softver.
- Antivirus i ažuriranja: Instalirajte pouzdana antivirusna rješenja i redovno ažurirajte sav softver, uključujući pretraživače i aplikacije za razmjenu poruka, kako biste zakrpili ranjivosti.
- Praćenje mreže: Pratite neuobičajeni odlazni saobraćaj ka Telegram API-jima ili drugim netipičnim servisima, što može ukazivati na eksfiltraciju podataka.
- Upravljanje kredencijalima: Koristite menadžere lozinki kako biste izbjegli pohranu kredencijala u pretraživačima i omogućite višefaktorsku autentifikaciju (MFA) na aplikacijama za razmjenu poruka poput Telegram-a i Discord-a.
- Sigurnosna kultura: Razvijajte sigurnosnu svijest među zaposlenima kroz redovne obuke o socijalnom inženjeringu i prijetnjama od malicioznog softvera.
Izvor: CyberSecurityNews