Новости Новый способ кражи данных: Zaraza bot крадёт пароли из браузеров с помощью Telegram

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Под угрозой "самые безопасные" браузеры и онлайн-банки.


2s13r0vjhh1sxbs2pt4qiitvq8c026pn.jpg


Специалисты ИБ-компании Uptycs Для просмотра ссылки Войди или Зарегистрируйся новое вредоносное ПО для кражи учетных данных под названием Zaraza bot, которое продаётся в Telegram и использует мессенджер в качестве сервера управления и контроля (С2, C&C).

Zaraza bot нацелен на большое количество веб-браузеров и активно распространяется на популярном среди киберпреступников Telegram-канале. Как только вредоносная программа заражает компьютер жертвы, она извлекает конфиденциальные данные и отправляет их Telegram-боту, контролируемому злоумышленником.

Zaraza bot представляет собой 64-битный двоичный файл, скомпилированный с помощью C#. При заражении вредоносное ПО извлекает все возможные учетные данные, хранящиеся на компьютере жертвы. В частности, стилер нацелен на 38 различными веб-браузеров, в том числе Google Chrome , Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi и Яндекс. Стилер также способен делать скриншоты активного окна.

Отметим, что веб- браузер хранит в системе учетные данные в двух зашифрованных форматах (в новых версиях браузера используется подпись пароля v80, а в более старых - функция Windows DPAPI), но Zaraza bot способен расшифровывать оба формата.

Затем Zaraza bot извлекает учетные данные из онлайн-банка, криптовалютных кошельков, электронной почты и других сайтов. Украденные данные хакеры могут использовать дальше в злонамеренных целях, таких как кража личных данных, финансовое мошенничество и несанкционированный доступ к личным и корпоративным учетным записям.


4vl8719yeniute01qnqeic99vqbmezvp.png


Цепочка заражения Zaraza bot

По данным Uptycs, Zaraza bot предлагается другим киберпреступникам в качестве коммерческого инструмента за подписку. Стоит отметить, что доступ к Telegram-боту для оформления подписки ограничен. Из-за этого исследовательская группа Uptycs не смогла взаимодействовать с ботом.


oiuforwm7703bj42dcoe8w8n95kk20ew.png


Telegram-бот Zaraza bot

Анализируя HTTPS-пакеты, эксперты обнаружили, что Zaraza bot перехватил данные, содержащие никнейм и информацию об учетной записи российского пользователя. Это указывает на то, что российский пользователь связан либо с администратором бота, либо с киберпреступником, использующим Zaraza bot.


arw2qcs46lhn7hkyxlgyc3vjomz12j5k.png


Сетевой (HTTPS) трафик

В настоящее время неясно, как распространяется Zaraza bot, но раньше киберпреступники обычно использовали 2 метода распространения: вредоносная реклама и социальная инженерия. Чтобы снизить риски атак стилеров, пользователям рекомендуется использовать двухфакторную аутентификацию (2FA) и применять обновления ПО и ОС по мере их появления.

Выводы Uptycs были получены после того, как Для просмотра ссылки Войди или Зарегистрируйся , нацеленной на бухгалтерские фирмы и налоговые органы с помощью загрузчика GuLoader, который устанавливает RAT-троян Remcos RAT, позволяющий получить первоначальный доступ к корпоративным сетям.
 
Источник новости
www.securitylab.ru

Похожие темы