KurayStealer Malware steelt inloggegevens
Beveiligingsonderzoekers gaven waarschuwingen en berichtgeving over nieuwe malware die de ronde doet. De dreiging is een inloggegevens-stealer die aangepaste code van een malwarebouwer gebruikt.
De nieuwe stealer is KurayStealer genoemd. Kuray is gebaseerd op aangepaste code, met behulp van een malware-builder die in april 2022 is uitgebracht door een Discord-gebruiker met de profielnaam "Portu". De malwarebuilder zelf is een codebase die nieuwe hackers kunnen gebruiken en aanpassen om aan hun specifieke behoeften te voldoen.
KurayStealer gebruikt stukjes code en bouwstenen van een aantal andere wachtwoordstelende soorten malware, waarvan sommige zijn geregistreerd en gedocumenteerd door onderzoekers nadat ze ze hadden gevonden in openbare coderepositories zoals GitHub.
De malware gebruikt webhooks om automatisch gegevens over te dragen via een gecompromitteerde Discord-client. KurayStealer kan de machine van het slachtoffer scannen op tokens, wachtwoorden en opgeslagen IP-adressen, bladeren door browsergegevens en Discord-instellingen en -gegevens, naast meer dan een dozijn andere apps die het kan scannen op diefstal van referenties.
De Discord-gebruiker die grotendeels verantwoordelijk is voor de KurayStealer-malware, Portu, heeft zijn best gedaan om zijn sporen uit te wissen, maar dat was niet echt goed genoeg. Onderzoekers hebben de gebruiker gevolgd via broodkruimels op hun Discord-profiel. Portu wordt verondersteld de Spaanse nationaliteit te hebben en hij werkt waarschijnlijk ook aan een nieuwe versie van hun stealer-malware.