Sociālo mediju platformās tiek tirgota ļaunprogrammatūra “Angry Stealer”. Tas tiek piedāvāts arī ziņojumapmaiņas lietotnēs, piemēram, Telegram. Pārdēvētā ļaunprogrammatūra ļauj ļaunprātīgi izmantot Telegram API, lai nozagtu datus.
Rage Stealer pārveidota zīmola versija tiek pārdota tiešsaistē
CYFIRMA pētnieku grupas identificētā ļaunprogrammatūra Angry Stealer būtībā ir “informācijas zagļa” pakotne. Satraucoši jāatzīmē, ka šķiet, ka ļaunprogrammatūra ir pārveidota par precēm.
Draudu dalībnieki reklamē ļaunprātīgas programmatūras pieejamību vairākās sociālo mediju platformās, tostarp Telegram. Tas ievērojami palielina potenciālo uzbrucēju skaitu un ļaunprātīgās programmatūras darbības jomu.
#CYFIRMResearch nesen identificēts a #pilinātājsbinārs kas izvieto an #informācijas zagšana #ļaunprātīga programmatūra pazīstams kā #AngryStealerpārveidota zīmola versija #RageStealer reklamēts a #Telegramma kanālu.
Visaptveroša dusmīgā zagtāja analīze: dusmu zaglis jaunā maskā — CYFIRMA— CYFIRMA Research (@CyfirmaR) 2024. gada 26. augusts
Tiek ziņots, ka Angry Stealer ir vērsta uz plašu sensitīvas informācijas datu kopu klāstu. Tajā tiek izmantotas uzlabotas tehnikas un zīmola maiņas taktika. Tās uzbrukuma stratēģija un procesi šķiet līdzīgi ļaunprogrammatūrai Rage Stealer.
Saskaņā ar CYFIRMA drošības izpētes komandu, Angry Stealer varētu būt Rage Stealer ļaunprātīgas programmatūras versija, kas ir pārveidota par zīmolu. Tas ir tāpēc, ka kodā, funkcijās, funkcijās un pat darbībā ir daudz līdzību.
Kā ļaunprogrammatūra Angry Stealer nozog datus?
Angry Stealer ir divi galvenie komponenti: “Stepasha.exe” un “MotherRussia.exe”. Radītāji ir izveidojuši lietderīgo slodzi, izmantojot .Net kā 32 bitu Win32 izpildāmo failu.
Stepasha.exe mēģina nozagt sensitīvu informāciju, piemēram, paroles, sīkfailus, automātiskās aizpildes informāciju, kriptovalūtas maka informāciju, sistēmas informāciju, VPN akreditācijas datus, Discord marķierus un daudz ko citu. Pēc tam šie nozagtie dati tiek ielādēti Telegram API, izmantojot integrētos autentifikācijas akreditācijas datus. Šis izpildāmais fails pat apiet SSL validāciju, lai nodrošinātu veiksmīgu datu eksfiltrāciju.
No otras puses, MotherRussia.exe ir paredzēts, lai atvērtu jaunus ceļus un sagūstītu vairāk upuru. Citiem vārdiem sakot, šis izpildāmais fails var ģenerēt pielāgotu ļaunprātīgu programmatūru. Drošības izpētes komanda ierosina, ka šī programma varētu atvērt attālās darbvirsmas sesijas, lai izplatītos.
2024&08&23 ANGRY STEALER (Rage stealer variants) Telegram žurka . Paraugi https://t.co/P9WNXf8oei
— kibrmonks (@cybr_monk) 2024. gada 2. septembris
Kopumā pēc veiksmīgas inficēšanās Angry Stealer sāk sistemātisku un rūpīgu sensitīvu datu vākšanu. Šķiet, ka tas seko populārām tīmekļa pārlūkprogrammām. Tas varētu būt tāpēc, ka pārlūkprogrammas ir kļuvušas par vēlamo vietu, kur glabāt paroles un pieteikšanās akreditācijas datus vairākiem tiešsaistes pakalpojumiem.
Pētnieku komanda ir novērojusi ļaunprogrammatūru Angry Stealer, kas vienlaikus darbojas vairākās pārlūkprogrammās. Tas pastāvīgi mēģina iegūt paroles, kredītkaršu informāciju, sīkfailus, automātiskās aizpildes datus, grāmatzīmes, darbības procesus, ekrānuzņēmumus un sistēmas specifikācijas.
Angry Stealer ļaunprogrammatūra veic piesardzības pasākumus, lai izvairītos no atklāšanas. Tas piešķir prioritāti galvenajām mapēm un dokumentiem, kuros var būt sensitīva informācija. Turklāt ļaunprogrammatūra pat apkopo upura IP adresi, ģeogrāfisko atrašanās vietu un ar tīklu saistītos datus.
Lai cīnītos pret šo ļaunprogrammatūru, sistēmu administratoriem būtu jāpieņem daudzslāņu drošības pieeja. Pareizi nošķirot tīklus, var ierobežot ļaunprātīgas programmatūras sānu kustību. Šķiet, ka ļaunprogrammatūra izplatās, izmantojot vairākas metodes, kas galvenokārt saistītas ar cilvēka kļūdām, pārraudzību un nolaidību. Tāpēc, lai cīnītos pret Angry Stealer ļaunprogrammatūru, ir ļoti svarīgi izvietot spēcīgas drošības programmas un pastāvīgi tās atjaunināt.
