Siber güvenlik araştırmacıları, tehlikeye atılmış ana bilgisayarlardan hassas verileri sızdırmak için Discord botu kullanan, Java tabanlı yeni bir “gelişmiş” bilgi hırsızı keşfetti.
Kötü amaçlı yazılım, adı NS-STEALLERTrellix güvenlik araştırmacısı Gurumoorthi Ramanathan, , kırılmış yazılım gibi görünen ZIP arşivleri aracılığıyla yayıldığını söylüyor söz konusu Geçen hafta yayınlanan bir analizde.
ZIP dosyasının içinde, toplanan verileri depolamak için ilk önce “NS-<11-digit_random_number>” adlı bir klasör oluşturan kötü amaçlı bir JAR dosyasını dağıtmak için bir kanal görevi gören hileli bir Windows kısayol dosyası (“Yükleyici GAYve”) bulunur.
Kötü amaçlı yazılım daha sonra bu klasöre ekran görüntülerini, çerezleri, kimlik bilgilerini ve iki düzineden fazla web tarayıcısından çalınan otomatik doldurma verilerini, sistem bilgilerini, yüklü programların listesini, Discord tokenlarını, Steam ve Telegram oturum verilerini kaydeder. Yakalanan bilgiler daha sonra Discord Bot kanalına aktarılır.
“Hassas bilgileri toplama ve kimlik doğrulamayı desteklemek için X509Certificate’i kullanma gibi son derece karmaşık işlevler göz önüne alındığında, bu kötü amaçlı yazılım, kurban sistemlerinden bilgileri hızlı bir şekilde çalabilir. [Java Runtime Environment]” dedi Ramanathan.
“Sızdırılan verileri almaya yönelik bir EventListener olarak Discord bot kanalı aynı zamanda uygun maliyetlidir.”
Bu gelişme, Chaes (diğer adıyla Chae$) kötü amaçlı yazılımının arkasındaki tehdit aktörlerinin, web tarayıcılarına girilen oturum açma bilgilerinin çalınmasından ve kripto işlemlerinin ele geçirilmesinden sorumlu olan Chronod modülünde iyileştirmeler içeren bilgi hırsızı için bir güncelleme (sürüm 4.1) yayınlamasıyla ortaya çıktı. .
Kötü amaçlı yazılımı dağıtan enfeksiyon zincirleri MorphisecChae$ 4.1’i etkinleştirmek için kötü niyetli bir yükleyici dağıtmak amacıyla alıcıları sahte bağlantılara tıklamaya ikna etmek için Portekizce yazılmış yasal temalı e-posta tuzaklarından yararlanın.
Ancak ilginç bir değişiklikle geliştiriciler, geçmişte Chaes’i kapsamlı bir şekilde analiz eden güvenlik araştırmacısı Arnold Osipov’a da “yazılımlarını” doğrudan kaynak kodu içinde geliştirmelerine yardımcı oldukları için şükranlarını ifade eden mesajlar bıraktılar.