Το Statc Stealer στοχεύει συστήματα Windows

Ένα είδος κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα με το όνομα Statc Stealer αναγνωρίστηκε ότι μολύνει υπολογιστές που λειτουργούν στο σύστημα Microsoft Windows. Αυτό το κακόβουλο λογισμικό ειδικεύεται στην εξαγωγή ευαίσθητων προσωπικών και οικονομικών δεδομένων.

Σε μια πρόσφατη τεχνική έκθεση, οι ερευνητές Shivam Sharma και Amandeep Kumar από το Zscaler ThreatLabz τόνισαν την εκτεταμένη γκάμα δυνατοτήτων κλοπής δεδομένων που παρουσιάζει η Statc Stealer, κατηγοριοποιώντας την ως ουσιαστική απειλή. Το κακόβουλο λογισμικό έχει την ικανότητα να κλέβει πολύτιμες πληροφορίες από διάφορα προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων των διαπιστευτηρίων σύνδεσης, των cookies, των δεδομένων ιστού και των προτιμήσεων των χρηστών. Επιπλέον, επικεντρώνεται στην απόκτηση δεδομένων από πορτοφόλια κρυπτονομισμάτων, διαπιστευτήρια λογαριασμού, κωδικούς πρόσβασης και ακόμη και περιεχόμενο από πλατφόρμες ανταλλαγής μηνυμάτων όπως το Telegram.

Statc Τρόπος Λειτουργίας

Αναπτύχθηκε στη γλώσσα προγραμματισμού C++, αυτό το κακόβουλο πρόγραμμα διεισδύει σε στοχευμένα συστήματα εξαπατώντας πιθανά θύματα κάνοντας κλικ σε φαινομενικά αβλαβείς διαφημίσεις. Μεταμφιέζεται σε μορφή αρχείου βίντεο MP4 σε δημοφιλή προγράμματα περιήγησης ιστού όπως το Google Chrome. Το αρχικό ωφέλιμο φορτίο ρίχνει ένα πρόγραμμα εγκατάστασης PDF decoy και ταυτόχρονα εκκινεί ένα κρυφό δυαδικό πρόγραμμα λήψης. Αυτό το δυαδικό πρόγραμμα λήψης είναι υπεύθυνο για την ανάκτηση του πραγματικού κακόβουλου λογισμικού κλοπής από έναν απομακρυσμένο διακομιστή, χρησιμοποιώντας ένα σενάριο PowerShell για εκτέλεση.

Για να διασφαλιστεί η αποφυγή του εντοπισμού του sandbox και να αποτραπεί η ανάλυση αντίστροφης μηχανικής, ο κλέφτης χρησιμοποιεί προηγμένους ελέγχους. Δημιουργεί συνδέσεις με έναν διακομιστή εντολών και ελέγχου (C&C) μέσω HTTPS για τη μετάδοση των κλοπιμαίων δεδομένων.

Μεταξύ των μέτρων κατά της ανάλυσης, το κακόβουλο λογισμικό ελέγχει τα ονόματα αρχείων για ασυνέπειες για τον εντοπισμό πιθανών απειλών, διακόπτοντας τις λειτουργίες του εάν εντοπιστούν. Τα στοχευμένα προγράμματα περιήγησης ιστού περιλαμβάνουν ένα ευρύ φάσμα, όπως Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Opera και Yandex Browser.

Οι ερευνητές τόνισαν την ιδιαίτερη σημασία της μεθόδου εξαγωγής δεδομένων του Statc Stealer. Το κακόβουλο λογισμικό συλλέγει αποτελεσματικά ευαίσθητες πληροφορίες προγράμματος περιήγησης και τις μεταδίδει με ασφάλεια στον διακομιστή C&C. Αυτή η λειτουργία διευκολύνει τη συλλογή κρίσιμων δεδομένων όπως τα διαπιστευτήρια σύνδεσης και τα προσωπικά στοιχεία, επιτρέποντας κακόβουλες δραστηριότητες όπως κλοπή ταυτότητας και οικονομική απάτη.

Συμπίπτοντας με αυτές τις ανακαλύψεις, το eSentire διεξήγαγε μια ανάλυση μιας ενημερωμένης επανάληψης του Raccoon Stealer, έκδοση 2.1, η οποία κυκλοφόρησε τον Φεβρουάριο του τρέχοντος έτους. Οι προγραμματιστές του Raccoon Stealer ανέστειλαν προσωρινά τις δραστηριότητές τους στο κακόβουλο λογισμικό λόγω της σύλληψης του Mark Sokolovsky τον Μάρτιο του 2022. Ο Sokolovsky αναγνωρίστηκε ως ένας από τους κύριους δημιουργούς αφού κατά λάθος συνέδεσε έναν λογαριασμό Gmail που χρησιμοποιούσε για να εγγραφεί σε φόρουμ για εγκλήματα στον κυβερνοχώρο με ένα Apple iCloud λογαριασμό, αποκαλύπτοντας έτσι την πραγματική του ταυτότητα.