Stručnjaci upozoravaju da novi kradljivac informacija pod nazivom Statc Stealer inficira Windows uređaje kako bi ukrao širok spektar osjetljivih informacija.
Zscaler ThreatLabz istraživači su otkrili novi malver za krađu informacija, nazvan Statc Stealer, koji može ukrasti širok spektar informacija sa Windows uređaja.
Maliciozni softver može ukrasti osjetljive informacije iz različitih web preglednika, uključujući podatke za prijavu, kolačiće, web podatke i postavke. Maliciozni kod također cilja na novčanike kriptovaluta i može uhvatiti kredencijale, lozinke, pa čak i podatke iz aplikacija za razmjenu poruka poput Telegrama.
Statc Stealer je napisan na C++, podržava provjere nepodudarnosti naziva datoteke kako bi se izbjeglo izvršenje u sandboxu i analiza obrnutog inženjeringa.
Lanac infekcije počinje kada su žrtve prevarene da kliknu na oglas koji izgleda kao autentična Google reklama.
Ispod je lanac napada koji su opisali istraživači:
- Korisnik je prevaren da klikne na malicoznu vezu negdje u svom pregledniku Google Chrome (obično je to reklama).
- Korisnik nehotice preuzima datoteku početnog uzorka.
- Nakon što se maliciozna datoteka izvrši, početni uzorak se ispušta i izvršava Decoy PDF Installer.
- Da bi se olakšalo preuzimanje Statc korisnog opterećenja putem PowerShell skripte, datoteka Initial Sample se također ispušta i izvršava binarnu datoteku Downloader-a.
- Jednom kada Statc Stealer ukrade podatke korisnika, on ih šifrira, stavlja ih u tekstualnu datoteku i pohranjuje u mapu Temp.
- Odavde, Statc Stealer poziva svoj C&C server da dostavi ukradene šifrirane podatke.
Maliciozni softver koristi HTTPS HTTPS protokol za slanje ukradenih, šifriranih podataka na C2 server.
Statc Stealer cilja na najpopularnije Windows pretraživače, uključujući Chrome, Microsoft Edge, Brave, Opera, Yandex i Mozilla Firefox.
Koristeći ProcMon, istraživači su primijetili da Statc Stealer može ukrasti:
- podatke o kolačićima korisnika
- web podatke
- lokalna država
- preferencije podataka
- podatke za prijavu
- razne informacije o novčanicima
- FileZilla
- pretraživači automatski popunjavaju
- anydesk
- ronin_edge
- meta maska
- Telegram podaci
Maliciozni kod također može eksfiltrirati podatke automatskog popunjavanja.
„U zaključku, pojava novog kradljivača informacija, Statc Stealer-a, naglašava nemilosrdnu evoluciju malicioznog softvera u digitalnom carstvu.” zaključuje izvještaj . “Sajber-kriminalci i njihova sve veća lista vrsta malicioznog softvera iz minuta u minut postaju složeniji. Otkriće Statc Stealer-a pokazuje važnost budnosti, kontinuiranog istraživanja i praćenja.”
Izvor: Security Affairs