- 13,885
- 20
- 8 Ноя 2022
Ваш браузер может стать источником проблем из-за нового вируса NS-STEALER.
ИБ-компания Trellix Для просмотра ссылки Войдиили Зарегистрируйся новый сложный инструмент для кражи информации на основе Java, который использует бота Discord для кражи конфиденциальных данных со скомпрометированных хостов.
Вредоносное ПО под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение. ZIP-файл содержит вредоносный файл ярлыка Windows («Loader GAYve»), действующий как канал для развертывания вредоносного JAR -файла, который сначала создает папку с именем «NS-<11-digit_random_number>» для хранения собранных данных.
Содержание архива
В созданную папку вредоносная программа впоследствии сохраняет скриншоты, cookie-файлы, учетные данные и данные автозаполнения, украденные из более чем 20 веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram . Собранная информация затем передается на канал бота Discord.
Цепочка заражения
Исследователи отметили, что сложная функция сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, позволяет вредоносному ПО быстро украсть информацию из систем-жертв с помощью среды выполнения Java. Бот-канал Discord в качестве EventListener для получения отфильтрованных данных также эффективен в рамках кампании.
ИБ-компания Trellix Для просмотра ссылки Войди
Вредоносное ПО под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение. ZIP-файл содержит вредоносный файл ярлыка Windows («Loader GAYve»), действующий как канал для развертывания вредоносного JAR -файла, который сначала создает папку с именем «NS-<11-digit_random_number>» для хранения собранных данных.
Содержание архива
В созданную папку вредоносная программа впоследствии сохраняет скриншоты, cookie-файлы, учетные данные и данные автозаполнения, украденные из более чем 20 веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram . Собранная информация затем передается на канал бота Discord.
Цепочка заражения
Исследователи отметили, что сложная функция сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, позволяет вредоносному ПО быстро украсть информацию из систем-жертв с помощью среды выполнения Java. Бот-канал Discord в качестве EventListener для получения отфильтрованных данных также эффективен в рамках кампании.
- Источник новости
- www.securitylab.ru
