Исследователи кибербезопасности обнаружили новый "сложный" похититель информации на базе Java, который использует Discord-бота для извлечения конфиденциальных данных со скомпрометированных хостов.
Вредоносная программа под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение, сказал исследователь безопасности Trellix Гурумурти Раманатан в анализе, опубликованном на прошлой неделе.
ZIP-файл содержит в себе вредоносный файл быстрого доступа Windows ("Loader GAYve"), который действует как канал для развертывания вредоносного JAR-файла, который сначала создает папку с именем "NS-<11-значный случайный номер>" для хранения собранных данных.
В эту папку вредоносная программа впоследствии сохраняет скриншоты, файлы cookie, учетные данные и данные автозаполнения, украденные из более чем двух десятков веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram. Затем захваченная информация передается на канал бота Discord.
"Учитывая чрезвычайно сложную функцию сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, эта вредоносная программа может быстро украсть информацию из систем жертв с помощью [Java Runtime Environment]", - сказал Раманатан.
"Канал ботов Discord в качестве средства получения отфильтрованных данных также является экономически выгодным".
Разработка происходит после того, как злоумышленники, стоящие за вредоносной программой Chaes (она же Chae $), выпустили обновление (версия 4.1) для похитителя информации с улучшениями его модуля Chronod, который отвечает за кражу учетных данных для входа, введенных в веб-браузерах, и перехват криптовалютных транзакций.
Цепочки заражения, распространяющие вредоносное ПО, согласно Morphisec, используют электронные письма-приманки юридической тематики, написанные на португальском языке, чтобы обманом заставить получателей переходить по поддельным ссылкам для развертывания вредоносной программы установки для активации Chae за $ 4.1.
Но, что интересно, разработчики также оставили сообщения для исследователя безопасности Арнольда Осипова, который в прошлом активно анализировал Chaes, с выражением благодарности за помощь в улучшении их "программного обеспечения" непосредственно в исходном коде.
Вредоносная программа под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение, сказал исследователь безопасности Trellix Гурумурти Раманатан в анализе, опубликованном на прошлой неделе.
ZIP-файл содержит в себе вредоносный файл быстрого доступа Windows ("Loader GAYve"), который действует как канал для развертывания вредоносного JAR-файла, который сначала создает папку с именем "NS-<11-значный случайный номер>" для хранения собранных данных.
В эту папку вредоносная программа впоследствии сохраняет скриншоты, файлы cookie, учетные данные и данные автозаполнения, украденные из более чем двух десятков веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram. Затем захваченная информация передается на канал бота Discord.
"Учитывая чрезвычайно сложную функцию сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, эта вредоносная программа может быстро украсть информацию из систем жертв с помощью [Java Runtime Environment]", - сказал Раманатан.
"Канал ботов Discord в качестве средства получения отфильтрованных данных также является экономически выгодным".
Разработка происходит после того, как злоумышленники, стоящие за вредоносной программой Chaes (она же Chae $), выпустили обновление (версия 4.1) для похитителя информации с улучшениями его модуля Chronod, который отвечает за кражу учетных данных для входа, введенных в веб-браузерах, и перехват криптовалютных транзакций.
Цепочки заражения, распространяющие вредоносное ПО, согласно Morphisec, используют электронные письма-приманки юридической тематики, написанные на португальском языке, чтобы обманом заставить получателей переходить по поддельным ссылкам для развертывания вредоносной программы установки для активации Chae за $ 4.1.
Но, что интересно, разработчики также оставили сообщения для исследователя безопасности Арнольда Осипова, который в прошлом активно анализировал Chaes, с выражением благодарности за помощь в улучшении их "программного обеспечения" непосредственно в исходном коде.
