A KurayStealer malware hitelesítő adatokat lop

A biztonsági kutatók riasztásokat és lefedettséget adtak ki egy új, körözött rosszindulatú szoftverrel kapcsolatban. A fenyegetés egy hitelesítő adatlopó, amely egy rosszindulatú programkészítő módosított kódját használja.

Az új tolvaj a KurayStealer nevet kapta. A Kuray egy módosított kódon alapul, egy rosszindulatú programkészítőt használva, amelyet 2022 áprilisában adott ki egy Discord-felhasználó, aki a „Portu” profilnévvel rendelkezik. Maga a rosszindulatú programkészítő egy kódbázis, amelyet a törekvő új hackerek használhatnak és módosíthatnak sajátos igényeiknek megfelelően.

A KurayStealer számos más, jelszólopó rosszindulatú program törzséből származó kóddarabokat és építőelemeket használ, amelyek egy részét a kutatók regisztrálták és dokumentálták, miután megtalálták azokat nyilvános kódtárolókban, például a GitHubon.

A rosszindulatú program webhookot használ az adatok automatikus átvitelére egy feltört Discord kliensen keresztül. A KurayStealer képes átvizsgálni az áldozat gépét tokenek, jelszavak és tárolt IP-címek után, böngészési adatok és Discord-beállítások és adatok között turkálhat, több mint egy tucat egyéb alkalmazás mellett képes ellenőrizni a hitelesítő adatok ellopását.

A Discord-felhasználó, aki nagyrészt felelős a KurayStealer kártevőért, Portu, mindent megtett, hogy elfedje nyomait, de ez nem volt igazán jó. A kutatók a Discord-profiljukon hagyott morzsa segítségével követték nyomon a felhasználót. Portu vélhetően spanyol állampolgár, és valószínűleg a lopó kártevőjük új verzióján is dolgozik.