Một phần mềm đánh cắp thông tin mới có tên là Stealc đã xuất hiện trên dark web và thu hút được sự chú ý nhờ quảng cáo rầm rộ về khả năng đánh cắp và những điểm tương đồng với phần mềm độc hại cùng loại như Vidar, Raccoon, Mars và Redline.
Các nhà nghiên cứu bảo mật tại công ty tình báo mối đe dọa mạng SEKOIA đã phát hiện ra chủng mới vào tháng 1 và nhận thấy nó bắt đầu có sức hút vào đầu tháng 2.
Stealc đã được quảng cáo trên các diễn đàn hack bởi một người dùng có tên là “Plymouth”, người này đã giới thiệu phần mềm độc hại này như một phần mềm độc hại có khả năng đánh cắp dữ liệu rộng rãi và bảng quản trị dễ sử dụng.
Bài đăng diễn đàn đầu tiên quảng bá Stealc trực tuyến
Theo nhà quảng cáo, ngoài việc nhắm mục tiêu điển hình là dữ liệu trình duyệt web, tiện ích mở rộng và ví tiền điện tử, Stealc còn có một trình lấy tệp có thể tùy chỉnh có thể được đặt để nhắm mục tiêu bất kỳ loại tệp nào mà nhà điều hành muốn đánh cắp.
Sau bài đăng đầu tiên, Plymouth bắt đầu quảng cáo phần mềm độc hại trên các diễn đàn hack khác và trên các kênh Telegram riêng, cung cấp các mẫu thử nghiệm cho khách hàng tiềm năng.
Người bán cũng thiết lập một kênh Telegram chuyên xuất bản nhật ký thay đổi phiên bản mới của Stealc, gần đây nhất là v1.3.0, được phát hành vào ngày 11 tháng 2 năm 2023. Phần mềm độc hại đang được tích cực phát triển và một phiên bản mới xuất hiện trên kênh này hàng tuần.
Plymouth cũng nói rằng Stealc không được phát triển từ đầu mà thay vào đó dựa trên những kẻ đánh cắp Vidar, Raccoon, Mars và Redline.
Một điểm chung mà các nhà nghiên cứu tìm thấy giữa Stealc và Vidar, Raccoon và Mars là những kẻ đánh cắp thông tin là tất cả chúng đều tải xuống các tệp DLL hợp pháp của bên thứ ba (ví dụ: sqlite3.dll, nss3.dll) để giúp đánh cắp dữ liệu nhạy cảm.
Trong một báo cáo hôm nay, các nhà nghiên cứu của SEKOIA lưu ý rằng thông tin liên lạc chỉ huy và kiểm soát (C2) của một trong những mẫu mà họ đã phân tích có chung điểm tương đồng với thông tin liên lạc của những kẻ đánh cắp thông tin Vidar và Raccoon.
Các nhà nghiên cứu đã phát hiện ra hơn 40 máy chủ C2 cho Stealc và hàng chục mẫu trong tự nhiên, cho thấy phần mềm độc hại mới đã thu hút sự quan tâm của cộng đồng tội phạm mạng.
Sự phổ biến này có thể là do khách hàng có quyền truy cập vào bảng quản trị có thể tạo các mẫu kẻ đánh cắp mới, điều này làm tăng khả năng phần mềm độc hại bị rò rỉ cho nhiều đối tượng hơn.
Mặc dù mô hình kinh doanh kém, SEKOIA tin rằng Stealc đại diện cho một mối đe dọa đáng kể vì nó có thể được chấp nhận bởi những tội phạm mạng kém kỹ thuật hơn.
Stealc đã thêm các tính năng mới kể từ lần phát hành đầu tiên vào tháng 1, bao gồm hệ thống ngẫu nhiên hóa các URL C2, hệ thống tìm kiếm và phân loại nhật ký (tệp bị đánh cắp) tốt hơn cũng như loại trừ các nạn nhân ở Ukraine.
Các mốc phát triển của phần mềm độc hại
Các tính năng mà SEKOIA có thể xác minh bằng cách phân tích mẫu đã chụp như sau:
Báo cáo hiện tại của SEKOIA không bao gồm tất cả dữ liệu thu được từ kỹ thuật đảo ngược Stealc nhưng cung cấp thông tin tổng quan về các bước thực hiện chính của nó.
Khi được triển khai, phần mềm độc hại này sẽ giải mã chuỗi của nó và thực hiện kiểm tra chống phân tích để đảm bảo phần mềm không chạy trong môi trường ảo hoặc hộp cát.
Tiếp theo, nó tự động tải các chức năng WinAPI và bắt đầu giao tiếp với máy chủ C2, gửi mã định danh phần cứng và tên bản dựng của nạn nhân trong thông báo đầu tiên, đồng thời nhận được cấu hình phản hồi.
Hướng dẫn cấu hình nhắm mục tiêu trình duyệt nào
Stealc sau đó thu thập dữ liệu từ các trình duyệt, tiện ích mở rộng và ứng dụng được nhắm mục tiêu, đồng thời thực thi trình lấy tệp tùy chỉnh của nó nếu đang hoạt động và cuối cùng trích xuất mọi thứ sang C2. Khi bước này kết thúc, phần mềm độc hại sẽ tự xóa chính nó và các tệp DLL đã tải xuống khỏi máy chủ bị xâm nhập để xóa dấu vết lây nhiễm.
Để biết danh sách đầy đủ các khả năng của Stealc và các ứng dụng được nhắm mục tiêu, hãy xem phần Phụ lục 1 trong báo cáo của SEKOIA.
Một phương pháp phân phối mà các nhà nghiên cứu quan sát được là thông qua các video trên YouTube mô tả cách cài đặt phần mềm bẻ khóa và liên kết đến một trang web tải xuống.
Trang web độc hại phát tán Stealc cho nạn nhân
Các nhà nghiên cứu nói rằng phần mềm tải xuống nhúng kẻ đánh cắp thông tin Stealc. Sau khi trình cài đặt được thực thi, phần mềm độc hại bắt đầu quy trình của nó và giao tiếp với máy chủ của nó.
SEKOIA đã chia sẻ một tập hợp lớn các chỉ số thỏa hiệp mà các công ty có thể sử dụng để bảo vệ tài sản kỹ thuật số của họ cũng như các quy tắc YARA và Suricata để phát hiện phần mềm độc hại dựa trên quy trình giải mã, chuỗi và hành vi cụ thể,
Xem xét phương thức phân phối được quan sát, người dùng nên tránh cài đặt phần mềm vi phạm bản quyền và chỉ tải xuống các sản phẩm từ trang web chính thức của nhà phát triển.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.