MKD-CIRT National Centre for Computer Incident Response
Се појави нов малициозен софтвер познат под името Stealc кој го привлече вниманието поради своите можности за крадење податоци и сличностите со малициозен софтвер од ист вид како Vidar, Raccoon, Mars и Redline.
Истражувачите за безбедност во cyber threat intelligence компанијата SEKOIA го забележале новиот вид во јануари и дека почнал да се засилува на почетокот на февруари.
Stealc е рекламиран на форумите за хакирање од корисник познат како „Plymouth“, кој го претстави малициозниот софтвер како дел од малициозен софтвер со широки можности за крадење податоци и административен панел лесен за користење.
Според огласувачот, освен типичното таргетирање на податоци од веб-прелистувачи, екстензии и крипто паричници, Stealc се одликува и со приспособлива техника за кражба на датотеки што може да таргетира какви било типови датотеки што хакерот сака да ги украде.
По првичната објава, Plymouth започна да го промовира малициозниот софтвер на други хакерски форуми и на приватни канали на Telegram, нудејќи примероци за тестирање на потенцијалните клиенти.
Огласувачот, исто така, постави канал на Telegram посветен на објавување на дневниците за промени на новата верзија на Stealc, најновата верзија е v1.3.0, објавена на 11 февруари 2023 година. Малициозниот софтвер е активно развиен и секоја недела се појавува нова верзија на каналот.
Plymouth, исто така, изјави дека Stealc не бил развиен од нула, туку се потпирал на Vidar, Raccoon, Mars и Redline.
Едно заедничко нешто што истражувачите го открија меѓу Stealc и Vidar, Raccoon и Mars е дека сите тие преземаат легитимни DLLs од трети страни (на пр. sqlite3.dll, nss3.dll) за да украдат чувствителни податоци.
Во денешниот извештај, истражувачите на SEKOIA забележуваат дека command & control (C2) комуникациите на еден од примероците што тие ги анализирале споделувале сличности со оние на Vidar и Raccoon.
Истражувачите открија повеќе од 40 C2 сервери за Stealc и неколку десетици примероци, што покажува дека новиот малициозен софтвер го привлече интересот на заедницата за сајбер криминал.
Оваа популарност се должи на фактот дека клиентите со пристап до административниот панел можат да генерираат нови примероци за крадење, што ги зголемува шансите малициозниот софтвер да се прошири до пошироката публика.
И покрај лошиот бизнис модел, SEKOIA верува дека Stealc претставува значајна закана бидејќи може да биде прифатен од помалку технички сајбер-криминалци.
Stealc додаде нови функции од своето прво издание во јануари, вклучувајќи систем за случаен избор на URL-адреси на C2, подобар систем за пребарување и сортирање на дневници (украдени датотеки) и исклучување на жртвите во Украина.
Карактеристиките што SEKOIA ги потврди од анализата се следните:
- Лесна конструкција од само 80 KB
- Употреба на легитимни DLLs од трети страни
- Напишан во C и ги злоупотребува Windows API функциите
- Повеќето стрингови се скриени со RC4 и base64
- Малициозниот софтвер автоматски ги ексфилтрира украдените податоци
- Таргетирани 22 веб-прелистувачи, 75 плагини и 25 десктоп паричници
Тековниот извештај на SEKOIA не ги вклучува сите податоци добиени од Stealc, но дава преглед на главните чекори од неговото извршување.
Stealc динамички ги вчитува WinAPI функциите и иницира комуникација со C2 серверот, испраќајќи го хардверскиот идентификатор на жртвата и името во првата порака добивајќи конфигурација во одговор.
Stealc потоа собира податоци од таргетираните прелистувачи, екстензии и апликации, а исто така ја извршува својата приспособена техника за кражба на датотеки доколку е активен, и конечно ексфилтрира сè во C2. Откако ќе заврши овој чекор, малициозниот софтвер се отстранува самиот себе и преземените DLL-датотеки од компромитираниот домаќин за да ги избрише трагите од инфекцијата.
За целосниот список на способности и насочени апликации на Stealc, проверете го Аnnex 1 делот во извештајот на SEKOIA.
Еден од методите на дистрибуција што го забележале истражувачите е преку видеа на YouTube кои опишуваат како да инсталирате кракиран софтвер и да се поврзете со преземената веб-страница.
Истражувачите изјавија дека преземањето софтвер го вградува Stealc. Откако ќе заврши инсталирањето, малициозниот софтвер ја започнува својата акција и комуницира со својот сервер.
SEKOIA сподели голем сет на индикатори за компромис што компаниите можат да ги користат за да ги одбранат своите средства, како и YARA и Suricata правилата за откривање на малициозен софтвер заснован на техника за дешифрирање, специфични низи и однесување.
Со оглед на набљудуваниот метод на дистрибуција, на корисниците им се препорачува да не инсталираат пиратски софтвер и да преземаат производи само од официјалната веб-страница.
Извор: BleepingComputer