Ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών που ονομάζεται “Stealc” εθεάθη πρόσφατα να κάνει τον γύρο του σκοτεινού ιστού, όχι μόνο αναζητώντας το επόμενο θύμα του, αλλά και τον επόμενο πελάτη του.
Ερευνητές κυβερνοασφάλειας από τη SEKOIA πρόσφατα ανακάλυψε το κακόβουλο λογισμικό που διαφημίζεται σε πολλά υπόγεια φόρουμ από έναν χακερ που ονομάζεται «Plymouth». Σύμφωνα με το the cybercriminal, το Stealc είναι ένα πλήρως εξοπλισμένο και έτοιμο προς χρήση stealer που βασίζεται σε πιο δημοφιλή πληροφοριοκλέφτες, όπως Vidar, Racoon, Mars και Redline Stealer.
Το Stealc λαμβάνει νέες τροποποιήσεις και αναβαθμίσεις τουλάχιστον μία φορά την εβδομάδα. Ορισμένες από τις νέες δυνατότητες του περιλαμβάνουν έναν τυχαιοποιητή κεντρικής διεύθυνσης URL εντολών και ελέγχου (C&C) και βελτιωμένο σύστημα αναζήτησης και ταξινόμησης αρχείων καταγραφής. Μπορεί επίσης να γλιτώσει θύματα από την Ουκρανία. Εκτός από αυτά, η Stealc έχει τα ακόλουθα χαρακτηριστικά και δυνατότητες:
- Μόνο 80KB
- Χρησιμοποιεί νόμιμα DLL τρίτων κατασκευαστών
- Είναι γραμμένο σε C και κάνει κατάχρηση των λειτουργιών API των Windows
- Διευκολύνει αυτόματα τα κλεμμένα δεδομένα
- Στοχεύει 22 προγράμματα περιήγησης, 75 προσθήκες και 25 πορτοφόλια για επιτραπέζιους υπολογιστές
Εκτός από τη διαφήμιση σε φόρουμ σκοτεινού ιστού, το Plymouth αναπτύσσει επίσης το κακόβουλο λογισμικό σε διάφορους υπολογιστές δημιουργώντας ψεύτικα σεμινάρια στο YouTube για το πώς να σπάσετε λογισμικό. Στη συνέχεια, τα βίντεο θα κατευθύνουν έναν ανυποψίαστο χρήστη σε έναν ιστότοπο λήψης που θα αναπτύξει το Stealc.
Μόλις εγκατασταθεί το κακόβουλο λογισμικό στον υπολογιστή του θύματος, εκτελεί ελέγχους κατά της ανάλυσης για να διασφαλίσει ότι δεν εκτελείται σε εικονικό περιβάλλον ή sandbox. Στη συνέχεια, φορτώνει τις λειτουργίες API των Windows και αρχίζει να επικοινωνεί με το κέντρο C&C για να στείλει το αναγνωριστικό υλικού του θύματος και το όνομα της έκδοσης. Το κακόβουλο λογισμικό θα λάβει στη συνέχεια ένα σύνολο οδηγιών.
Σε αυτό το σημείο, το Stealc θα αρχίσει να συλλέγει δεδομένα από τα στοχευμένα προγράμματα περιήγησης, επεκτάσεις και εφαρμογές. Θα εκτελέσει επίσης το αρχείο grabber του εάν είναι ενεργό και θα εξάγει όλα τα αρχεία στον διακομιστή C&C. Αφού κλέψει με επιτυχία δεδομένα, το Stealc αφαιρεί τον εαυτό του και τα ληφθέντα αρχεία DLL από τον υπολογιστή του θύματος για να αποφύγει τον εντοπισμό.
Η SEKOIA λέει ότι έχει ανακαλύψει περισσότερους από 40 διακομιστές C&C που σχετίζονται με το Stealc, υπονοώντας ότι το κακόβουλο λογισμικό έχει γίνει δημοφιλές μεταξύ των εγκληματιών του κυβερνοχώρου που διανέμουν κακόβουλο λογισμικό κλοπής.
Για να προστατεύσετε τους υπολογιστές σας από κακόβουλο λογισμικό, διατηρείτε πάντα ενημερωμένο το λογισμικό ασφαλείας σας και μην κάνετε ποτέ λήψη ή εγκατάσταση λογισμικού από πρόχειρους ιστότοπους. Τέλος, μην ανοίγετε συνημμένα ή συνδέσμους από ανεπιθύμητα email, καθώς ενδέχεται να περιέχουν κακόβουλο λογισμικό.