ผู้เชี่ยวชาญได้เตือนว่ามีการพบเห็นมัลแวร์ตัวใหม่ที่ขโมยข้อมูลเผยแพร่บนเว็บมืดในขณะที่พยายามดึงดูดลูกค้าบริการใหม่และผู้ที่ตกเป็นเหยื่อ
นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ SEKOIA พบโฆษณาหลายรายการ ฟอรัมการสนทนาที่ซ่อนเร้นต่างๆ และชุดโทรเลขที่ส่งเสริมการขโมยข้อมูลแบบใหม่ที่เรียกว่า Stealc
เห็นได้ชัดว่า Stealc ไม่ได้ถูกสร้างขึ้นมาตั้งแต่ต้น แต่เป็นการอัปเกรดจากตัวขโมยข้อมูลยอดนิยมอื่นๆ เช่น Vidar, Racoon, Mars และ Redline Stealer ซึ่งพบครั้งแรกในเดือนแรกของปี XNUMX และเพิ่มความแข็งแกร่งมากขึ้นในเดือนถัดไป
อัพเดทประจำสัปดาห์
Stealc ถูกสร้างขึ้นและโฆษณาโดยนักแสดงที่น่ากลัวชื่อ "พลีมัธ" ขณะนี้อยู่ในเวอร์ชัน XNUMX และดูเหมือนว่าจะได้รับการปรับแต่งและอัปเดตใหม่อย่างน้อยสัปดาห์ละครั้ง
คุณลักษณะบางอย่างที่เพิ่มเข้ามาเมื่อเร็วๆ นี้ ได้แก่ ตัวสร้าง C2 URL Randomizer และระบบการค้นหาและจัดเรียงเรกคอร์ดที่ได้รับการปรับปรุง Stealc ก็เห็นขอโทษ Ukrainians
หลังจากตรวจสอบตัวอย่างเพิ่มเติมของผู้ขโมยข้อมูลแล้ว SEKOIA พบว่าใช้ไฟล์ DLL ของบุคคลที่สามที่ถูกต้อง ถูกเขียนด้วยภาษา C และใช้ฟังก์ชัน Windows API ในทางที่ผิด มีขนาดเล็ก (เพียง 4KB) ขัดขวางสตริงส่วนใหญ่ด้วย RC64 และ BaseXNUMX และแตกไฟล์ที่ถูกขโมยโดยอัตโนมัติ (ผู้คุกคามไม่ต้องดำเนินการใดๆ)
SEKOIA ยังพบว่า Stealc สามารถขโมยข้อมูลจากเว็บเบราว์เซอร์ XNUMX รายการ ปลั๊กอิน XNUMX รายการ และเดสก์ท็อปวอลเล็ต XNUMX รายการ
นอกเหนือจากการประกาศบนดาร์กเว็บแล้ว Plymouth ยังยุ่งอยู่กับการเผยแพร่ไปยังอุปกรณ์เป้าหมาย (เปิดในแท็บใหม่) วิธีหนึ่งที่พวกเขาทำเช่นนี้คือการสร้างบทเรียน YouTube ปลอมเกี่ยวกับวิธีถอดรหัสซอฟต์แวร์ และให้ลิงก์ในคำอธิบายที่รวมเอาตัวขโมยข้อมูลเข้าไว้ด้วยกัน แทนที่จะใช้แคร็กที่โฆษณาไว้
จนถึงขณะนี้ มีการค้นพบเซิร์ฟเวอร์ C2 มากกว่าสี่สิบเครื่อง นักวิชาการชั้นนำสรุปว่า Stealc กำลังได้รับความนิยมเพิ่มขึ้น พวกเขาคาดเดาว่าความนิยมดังกล่าวเกิดจากข้อเท็จจริงที่ว่าอาชญากรที่สามารถเข้าถึงแผงการดูแลระบบสามารถสร้างตัวอย่างโจรใหม่ ๆ เพื่อเพิ่มการเข้าถึง
SEKOIA คิดว่า Stealc สามารถได้รับความนิยมอย่างมากเนื่องจากแฮ็กเกอร์ระดับล่างสามารถนำไปใช้ได้
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)