Инфостилер активно рекламируется злоумышленниками, заявлена поддержка 23 браузеров, 70 веб-плагинов и 15 криптокошельков.
В даркнете появился новый инфостилер под названием Stealc, который набирает обороты благодаря агрессивному продвижению возможностей для кражи данных и сходству с вредоносными программами Vidar, Raccoon, Mars и Redline.
Исследователи безопасности из компании Для просмотра ссылки Войди
Stealc рекламировался на хакерских форумах русскоязычным пользователем под ником «Plymouth». Хакер описал широкие возможности программы для кражи данных, а также отметил простую в использовании панель администрирования.
Сообщение на хакерской форуме, рекламирующее вредонос Stealc По словам Plymouth, помимо обычного таргетинга данных веб-браузера, расширений и криптовалютных кошельков, Stealc также может быть настроен на любые типы пользовательских файлов, которые оператор пожелает украсть. Автор открыто заявил, что при разработке Stealc использовались наработки популярных вредоносов Vidar, Raccoon, Mars и Redline. Программа также продвигалась в закрытых Telegram-каналах с возможностью опробовать тестовые образцы перед покупкой.
Исследователи обнаружили одну общую черту, которая объединяет Stealc с вышеупомянутыми Vidar, Raccoon, Mars и Redline. Все они загружают законные сторонние «.dll» библиотеки (например sqlite3.dll, nss3.dll) для похищения пользовательских файлов.
Исследователи SEKOIA обнаружили более 40 активных C2-серверов Stealc и несколько десятков экземпляров в дикой природе ( Для просмотра ссылки Войди
При развертывании вредоносная программа Для просмотра ссылки Войди
После этого Stealc собирает данные из всех целевых браузеров, расширений и приложений, запускает захват пользовательских файлов, а затем выгружает их на Для просмотра ссылки Войди
Один из методов распространения, который наблюдали исследователи, — фишинговые веб-сайты, на которых потенциальным жертвам предлагалось скачать взломанное программное обеспечение. Разумеется, в данное ПО был встроен вредонос Stealc.
SEKOIA также поделилась большим набором индикаторов компрометации, которые смогут использовать компании, разрабатывающие антивирусные продукты, для добавления вредоносного ПО в свои базы.
Учитывая наблюдаемый способ распространения вредоноса, пользователям рекомендуется избегать установки пиратского программного обеспечения и загружать любые продукты только с официальных сайтов.
- Источник новости
- www.securitylab.ru