Исследователи кибербезопасности из SEKOIA недавно обнаружили вредоносное ПО, рекламируемое на нескольких подпольных форумах злоумышленником по имени Plymouth. По словам злоумышленника, Stealc — это полнофункциональный и готовый к использованию стилер, основанный на более популярных инфостилерах, таких, как Vidar, Racoon, Mars и Redline Stealer.
Stealc получает новые настройки и обновления не реже одного раза в неделю. Некоторые из его новых функций включают рандомизатор URL-адресов центра управления и контроля (C&C) и улучшенную систему поиска и сортировки журналов. Он также может пощадить жертв из Украины. Помимо этого, Stealc обладает следующими характеристиками и возможностями:
- Всего 80 КБ
- Использует законные сторонние библиотеки DLL
- Написан на C и злоупотребляет функциями Windows API
- Автоматически удаляет украденные данные
- Ориентирован на 22 браузера, 75 плагинов и 25 десктопных кошельков.
Помимо рекламы на форумах даркнета, Plymouth также развертывает вредоносное ПО на различных ПК, создавая на YouTube фейковые учебные пособия по взлому программного обеспечения. После просмотра видео направляет ничего не подозревающего пользователя на веб-сайт загрузки, на котором уже развернут Stealc.
После того как вредоносное ПО установлено на ПК жертвы, оно выполняет антианалитические проверки, чтобы убедиться, что не работает в виртуальной среде или песочнице. Затем загружает функции Windows API и начинает взаимодействие с центром управления, чтобы отправить идентификатор оборудования жертвы и имя сборки. После этого вредоносная программа получит набор инструкций.
На этом этапе Stealc начнет собирать данные из целевых браузеров, расширений и приложений. Он также выполнит захват файлов и перенесет все файлы на сервер C&C. После успешной кражи данных Stealc удаляет себя и загруженные файлы DLL с ПК жертвы, чтобы избежать обнаружения.
SEKOIA сообщает, что обнаружила более 40 C&C-серверов, связанных со Stealc, что означает, что вредоносное ПО стало популярным среди киберпреступников, распространяющих вредоносное ПО.
Чтобы защитить свои компьютеры от вредоносных программ, всегда обновляйте программное обеспечение безопасности и никогда не загружайте и не устанавливайте софт с сомнительных веб-сайтов. Наконец, не открывайте вложения или ссылки из нежелательных писем, так как они могут содержать вредоносное ПО.
