Отчет об анализе вредоносных программ: Stealc stealer
ОтчетыХакеры, вирусы, утечки

Отчет об анализе вредоносных программ: Stealc stealer

admin

Stealc – это продвинутый информационный вор, описанный в отчёте по анализу вредоносных программ и дополнительных источниках. Вот подробный обзор на основе собранной информации:

  1. Разработка и Распространение: Stealc продвигается его предполагаемым разработчиком, известным как Plymouth, на русскоязычных подпольных форумах. Он доступен как услуга “вредоносное ПО как услуга” с 9 января 2023 года. Разработка Stealc основывается на техниках других известных воров информации, таких как Vidar, Raccoon, Mars и Redline​​​​.
  2. Технические Детали: Stealc написан на C и использует функции WinAPI. Основной целью является данные из веб-браузеров, расширений и настольных приложений криптовалютных кошельков, а также из других приложений, таких как мессенджеры и почтовые клиенты. Для сбора конфиденциальных данных из веб-браузеров он загружает 7 законных сторонних DLL, включая sqlite3.dll, nss3.dll, vcruntime140.dll, mozglue.dll, freebl3.dll, softokn3.dll и msvcp140.dll​​.
  3. Процесс Эксфильтрации Данных:
    • Stealc начинает с сбора информации о системе и аппаратном обеспечении, такой как IP-адрес, страна, название процессора, операционная система, архитектура, имя пользователя, название компьютера, скриншот, установленные приложения, выполняемые процессы и т.д.
    • Собранные данные кодируются в base64 перед передачей на сервер управления и контроля (C2).
    • Затем информация передается файл за файлом на сервер C2 с использованием запросов HTTP POST​​​​​​.
  4. Специфические Функции:
    • Загрузка Конфигураций Браузера: Stealc запрашивает у сервера C2 конфигурации для скрытного поведения, фокусируясь на различных данных, таких как пути браузера, где сохраняются данные пользователя.
    • Целевые Расширения Браузера: Он нацелен на сбор расширений браузера, ища в базе данных браузера с использованием предоставленных ID, что добавляет больше скрытных возможностей​​​​.
    • Использование Sqlite3 DLL: Stealc загружает Sqlite3 DLL для выполнения запросов на извлечение данных из данных приложения Chrome, сосредотачиваясь на структуре браузера и веб-движке. Он извлекает ключевые данные, такие как куки и учетные данные, зашифрованные Chrome с использованием AES​​​​​​​​.
  5. Безопасностные Последствия: Сложность Stealc, включая его способность скрытно эксфильтрировать конфиденциальные данные, представляет существенную угрозу конфиденциальности и безопасности пользователей.
admin
Author: admin

Related Posts