Malware KurayStealer rouba credenciais

Pesquisadores de segurança emitiram alertas e cobertura sobre um novo malware que está circulando. A ameaça é um ladrão de credenciais que usa código modificado de um criador de malware.

O novo ladrão foi apelidado de KurayStealer. Kuray é baseado em código modificado, usando um construtor de malware lançado em abril de 2022 por um usuário do Discord com o nome de perfil "Portu". O próprio criador de malware é uma base de código que aspirantes a novos hackers podem usar e modificar para atender às suas necessidades específicas.

KurayStealer usa pedaços de código e blocos de construção de vários outros tipos de malware que roubam senhas, alguns deles registrados e documentados por pesquisadores depois de encontrá-los em repositórios de código público, como o GitHub.

O malware usa webhooks para transferir dados automaticamente por um cliente Discord comprometido. KurayStealer pode escanear a máquina da vítima em busca de tokens, senhas e endereços IP armazenados, vasculhando dados do navegador e configurações e dados do Discord, entre mais de uma dúzia de outros aplicativos que ele pode escanear para roubo de credenciais.

O usuário do Discord que é em grande parte responsável pelo malware KurayStealer, Portu, fez o possível para cobrir seus rastros, mas isso não foi bom o suficiente. Os pesquisadores rastrearam o usuário por meio de migalhas de pão deixadas em seu perfil do Discord. Acredita-se que Portu seja um cidadão espanhol e provavelmente também esteja trabalhando em uma nova versão de seu malware ladrão.