„Statc Stealer“ skirta „Windows“ sistemoms

Nustatyta, kad neseniai aptikta kenkėjiškos programinės įrangos atmaina „Statc Stealer“ užkrečia kompiuterius, veikiančius „Microsoft Windows“ sistemoje. Ši kenkėjiška programa specializuojasi slaptų asmeninių ir finansinių duomenų išgavimu.

Neseniai paskelbtoje techninėje ataskaitoje mokslininkai Shivam Sharma ir Amandeep Kumar iš Zscaler ThreatLabz pabrėžė platų Statc Stealer teikiamų duomenų vagysčių galimybių spektrą, priskirdami tai didelei grėsmei. Kenkėjiška programa gali pavogti vertingą informaciją iš įvairių žiniatinklio naršyklių, įskaitant prisijungimo duomenis, slapukus, žiniatinklio duomenis ir vartotojo nuostatas. Be to, pagrindinis dėmesys skiriamas duomenų iš kriptovaliutų piniginių, paskyros kredencialų, slaptažodžių ir net turinio iš pranešimų platformų, tokių kaip „Telegram“, gavimas.

Statc veikimo režimas

Sukurta C++ programavimo kalba, ši kenkėjiška programa įsiskverbia į tikslines sistemas, apgaudama potencialias aukas, kad jos spustelėtų iš pažiūros nekenksmingas reklamas. Populiariose žiniatinklio naršyklėse, pvz., „Google Chrome“, jis užmaskuojamas kaip MP4 vaizdo failo formatas. Pradinė naudingoji apkrova numeta viliojančią PDF diegimo programą ir tuo pačiu paleidžia paslėptą dvejetainį atsisiuntimo programą. Šis atsisiuntimo programos dvejetainis failas yra atsakingas už tikrosios vagių kenkėjiškos programos nuskaitymą iš nuotolinio serverio, naudojant PowerShell scenarijų vykdymui.

Kad būtų išvengta smėlio dėžės aptikimo ir išvengta atvirkštinės inžinerijos analizės, vagystė naudoja išplėstinius patikrinimus. Jis užmezga ryšį su komandų ir valdymo (C&C) serveriu per HTTPS, kad perduotų apiplėštus duomenis.

Be antianalizės priemonių, kenkėjiška programa tikrina failų pavadinimus, ar nėra neatitikimų, kad nustatytų galimas grėsmes, ir sustabdo savo veiklą, jei tokių yra. Tikslinės žiniatinklio naršyklės apima platų spektrą, pvz., „Google Chrome“, „Microsoft Edge“, „Mozilla Firefox“, „Brave“, „Opera“ ir „Yandex“ naršyklę.

Tyrėjai pabrėžė ypatingą Statc Stealer duomenų išfiltravimo metodo reikšmę. Kenkėjiška programa efektyviai renka slaptą naršyklės informaciją ir saugiai perduoda ją į savo C&C serverį. Ši funkcija palengvina svarbių duomenų, pvz., prisijungimo kredencialų ir asmeninių duomenų, rinkimą, įgalindama kenkėjišką veiklą, pvz., tapatybės vagystę ir finansinį sukčiavimą.

Sutapdama su šiais atradimais, „eSentire“ atliko atnaujintos „Raccoon Stealer“ 2.1 versijos iteracijos analizę, kuri buvo išleista einamųjų metų vasario mėnesį. „Raccoon Stealer“ kūrėjai laikinai sustabdė savo veiklą su kenkėjiška programa, nes 2022 m. kovo mėn. buvo sulaikytas Markas Sokolovskis. Sokolovskis buvo nustatytas kaip vienas iš pagrindinių kūrėjų po to, kai netyčia susiejo „Gmail“ paskyrą, kurią naudojo registruodamasis kibernetinių nusikaltimų forume, su „Apple iCloud“ sąskaitą, taip atskleisdamas tikrąją jo tapatybę.