Новости Trellix выявил хитроумный Java-инструмент для кражи данных через бота Discord

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Ваш браузер может стать источником проблем из-за нового вируса NS-STEALER.


ode5oue4cw41nr29kggr42lcnkxgay4x.jpg


ИБ-компания Trellix Для просмотра ссылки Войди или Зарегистрируйся новый сложный инструмент для кражи информации на основе Java, который использует бота Discord для кражи конфиденциальных данных со скомпрометированных хостов.

Вредоносное ПО под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение. ZIP-файл содержит вредоносный файл ярлыка Windows («Loader GAYve»), действующий как канал для развертывания вредоносного JAR -файла, который сначала создает папку с именем «NS-<11-digit_random_number>» для хранения собранных данных.


plez5t3k3v6btur78graeb2sn5x442wl.png


Содержание архива

В созданную папку вредоносная программа впоследствии сохраняет скриншоты, cookie-файлы, учетные данные и данные автозаполнения, украденные из более чем 20 веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram . Собранная информация затем передается на канал бота Discord.


uo0eesp5eb96ctnwd3pij784gumqfp95.png


Цепочка заражения

Исследователи отметили, что сложная функция сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, позволяет вредоносному ПО быстро украсть информацию из систем-жертв с помощью среды выполнения Java. Бот-канал Discord в качестве EventListener для получения отфильтрованных данных также эффективен в рамках кампании.
 
Источник новости
www.securitylab.ru

Похожие темы