Statc Stealer atakuje systemy Windows

Niedawno wykryty szczep złośliwego oprogramowania o nazwie Statc Stealer został zidentyfikowany jako infekujący komputery działające w systemie Microsoft Windows. To złośliwe oprogramowanie specjalizuje się w wydobywaniu wrażliwych danych osobowych i finansowych.

W niedawnym raporcie technicznym badacze Shivam Sharma i Amandeep Kumar z Zscaler ThreatLabz podkreślili szeroki zakres możliwości kradzieży danych wykazywanych przez Statc Stealer, klasyfikując go jako poważne zagrożenie. Złośliwe oprogramowanie może kraść cenne informacje z różnych przeglądarek internetowych, w tym dane logowania, pliki cookie, dane sieciowe i preferencje użytkownika. Ponadto koncentruje się na pozyskiwaniu danych z portfeli kryptowalut, danych uwierzytelniających konta, haseł, a nawet treści z platform komunikacyjnych, takich jak Telegram.

Statyczny tryb działania

Ten złośliwy program, opracowany w języku programowania C++, infiltruje docelowe systemy, nakłaniając potencjalne ofiary do klikania pozornie nieszkodliwych reklam. Przebiera się za format pliku wideo MP4 w popularnych przeglądarkach internetowych, takich jak Google Chrome. Początkowy ładunek upuszcza wabik instalatora PDF i jednocześnie uruchamia ukryty plik binarny downloadera. Ten plik binarny downloadera jest odpowiedzialny za pobieranie rzeczywistego złośliwego oprogramowania do kradzieży ze zdalnego serwera, przy użyciu skryptu PowerShell do wykonania.

Aby zapewnić uniknięcie wykrycia piaskownicy i zapobiec analizie inżynierii wstecznej, złodziej stosuje zaawansowane kontrole. Nawiązuje połączenia z serwerem dowodzenia i kontroli (C&C) za pośrednictwem protokołu HTTPS w celu przesyłania wykradzionych danych.

Wśród swoich środków zapobiegających analizie złośliwe oprogramowanie analizuje nazwy plików pod kątem niespójności w celu wykrycia potencjalnych zagrożeń, wstrzymując swoje działania, jeśli zostaną zidentyfikowane. Docelowe przeglądarki internetowe obejmują szeroki zakres, takich jak Google Chrome, Microsoft Edge, Mozilla Firefox, Brave, Opera i Yandex Browser.

Naukowcy podkreślili szczególne znaczenie metody eksfiltracji danych Statc Stealer. Złośliwe oprogramowanie skutecznie zbiera poufne informacje o przeglądarce i bezpiecznie przesyła je do swojego serwera C&C. Ta funkcja ułatwia gromadzenie krytycznych danych, takich jak dane logowania i dane osobowe, umożliwiając złośliwe działania, takie jak kradzież tożsamości i oszustwa finansowe.

Zbiegając się z tymi odkryciami, eSentire przeprowadził analizę zaktualizowanej iteracji Raccoon Stealer w wersji 2.1, która została wydana w lutym bieżącego roku. Twórcy Raccoon Stealer tymczasowo zawiesili swoje działania na szkodliwym oprogramowaniu z powodu zatrzymania Marka Sokołowskiego w marcu 2022 r. Sokołowski został zidentyfikowany jako jeden z głównych twórców po nieumyślnym powiązaniu konta Gmail, którego użył do zarejestrowania się na forum dotyczącym cyberprzestępczości, z Apple iCloud konta, ujawniając w ten sposób swoją prawdziwą tożsamość.