Investigadores de ciberseguridad han descubierto un nuevo ladrón de información «sofisticado» basado en Java que utiliza un bot de Discord para filtrar datos confidenciales de hosts comprometidos.
El malware, llamado NS-ROTADORse propaga a través de archivos ZIP disfrazados de software descifrado, según Gurumoorthi Ramanathan, investigador de seguridad de Trellix. dicho en un análisis publicado la semana pasada.
El archivo ZIP contiene un archivo de acceso directo de Windows fraudulento («Loader GAYve»), que actúa como un conducto para implementar un archivo JAR malicioso que primero crea una carpeta llamada «NS-<11-digit_random_number>» para almacenar los datos recopilados.
En esta carpeta, el malware guarda posteriormente capturas de pantalla, cookies, credenciales y datos de autocompletar robados de más de dos docenas de navegadores web, información del sistema, una lista de programas instalados, tokens de Discord, datos de sesión de Steam y Telegram. La información capturada luego se extrae a un canal de Discord Bot.
«Teniendo en cuenta la función altamente sofisticada de recopilar información confidencial y utilizar X509Certificate para respaldar la autenticación, este malware puede robar rápidamente información de los sistemas de la víctima con [Java Runtime Environment]», dijo Ramanathan.
«El canal de bot de Discord como EventListener para recibir datos extraídos también es rentable».
El desarrollo se produce cuando los actores de amenazas detrás del malware Chaes (también conocido como Chae$) lanzaron una actualización (versión 4.1) para el ladrón de información con mejoras en su módulo Chronod, que es responsable de robar las credenciales de inicio de sesión ingresadas en los navegadores web e interceptar transacciones criptográficas. .
Cadenas de infección que distribuyen el malware, por Morfisecaprovechan señuelos de correo electrónico con temas legales escritos en portugués para engañar a los destinatarios haciéndoles hacer clic en enlaces falsos e implementar un instalador malicioso para activar Chae$ 4.1.
Pero en un giro interesante, los desarrolladores también dejaron mensajes para el investigador de seguridad Arnold Osipov, quien analizó extensamente Chaes en el pasado, expresando su gratitud por ayudarlos a mejorar su «software» directamente dentro del código fuente.