KurayStealer Malware kradnie poświadczenia

Badacze bezpieczeństwa ogłosili alerty i informacje dotyczące nowego złośliwego oprogramowania, które krąży. Zagrożeniem jest złodziej danych uwierzytelniających, który wykorzystuje zmodyfikowany kod od konstruktora złośliwego oprogramowania.

Nowy złodziej został nazwany KurayStealer. Kuray bazuje na zmodyfikowanym kodzie, wykorzystując narzędzie do tworzenia złośliwego oprogramowania wydane w kwietniu 2022 r. przez użytkownika Discorda o nazwie profilu „Portu”. Sam twórca złośliwego oprogramowania jest bazą kodu, którą początkujący hakerzy mogą używać i modyfikować w celu dostosowania do swoich konkretnych potrzeb.

KurayStealer używa fragmentów kodu i bloków konstrukcyjnych z wielu innych odmian złośliwego oprogramowania kradnącego hasła, niektóre z nich zostały zarejestrowane i udokumentowane przez badaczy po tym, jak znaleźli je w publicznych repozytoriach kodu, takich jak GitHub.

Złośliwe oprogramowanie wykorzystuje webhooki do automatycznego przesyłania danych przez zaatakowanego klienta Discord. KurayStealer może skanować zaatakowaną maszynę w poszukiwaniu tokenów, haseł i przechowywanych adresów IP, przeszukując dane przeglądarki oraz ustawienia i dane Discord, a także kilkanaście innych aplikacji, które może skanować pod kątem kradzieży poświadczeń.

Użytkownik Discord, który jest w dużej mierze odpowiedzialny za złośliwe oprogramowanie KurayStealer, Portu, zrobił wszystko, co w jego mocy, aby zatrzeć swoje ślady, ale to nie było wystarczająco dobre. Badacze wyśledzili użytkownika przez okruszki pozostawione na ich profilu na Discordzie. Uważa się, że Portu jest obywatelem Hiszpanii i prawdopodobnie będzie również pracował nad nową wersją swojego złośliwego oprogramowania do kradzieży.