Des chercheurs en cybersécurité ont découvert un nouveau voleur d’informations « sophistiqué » basé sur Java qui utilise un robot Discord pour exfiltrer les données sensibles des hôtes compromis.
Le malware, nommé NS-STEALERse propage via des archives ZIP se faisant passer pour un logiciel piraté, Gurumoorthi Ramanathan, chercheur en sécurité chez Trellix dit dans une analyse publiée la semaine dernière.
Le fichier ZIP contient un fichier de raccourci Windows malveillant (« Loader GAYve »), qui agit comme un conduit pour déployer un fichier JAR malveillant qui crée d’abord un dossier appelé « NS-<11-digit_random_number> » pour stocker les données récoltées.
Dans ce dossier, le malware enregistre ensuite les captures d’écran, les cookies, les informations d’identification et les données de saisie automatique volées dans plus de deux douzaines de navigateurs Web, les informations système, une liste des programmes installés, les jetons Discord, les données de session Steam et Telegram. Les informations capturées sont ensuite exfiltrées vers un canal Discord Bot.
« Compte tenu de la fonction hautement sophistiquée de collecte d’informations sensibles et de l’utilisation du X509Certificate pour prendre en charge l’authentification, ce malware peut rapidement voler des informations sur les systèmes victimes avec [Java Runtime Environment] », a déclaré Ramanathan.
« Le canal du robot Discord en tant qu’EventListener pour recevoir des données exfiltrées est également rentable. »
Ce développement intervient alors que les acteurs de la menace derrière le malware Chaes (alias Chae$) ont publié une mise à jour (version 4.1) du voleur d’informations avec des améliorations de son module Chronod, qui est responsable du vol des informations de connexion saisies dans les navigateurs Web et de l’interception des transactions cryptographiques. .
Chaînes d’infection distribuant le malware, par Morphisecexploitez des leurres de courrier électronique à caractère juridique écrits en portugais pour inciter les destinataires à cliquer sur de faux liens afin de déployer un programme d’installation malveillant pour activer Chae$ 4.1.
Mais dans une tournure intéressante, les développeurs ont également laissé des messages au chercheur en sécurité Arnold Osipov – qui a analysé de manière approfondie Chaes dans le passé – exprimant leur gratitude pour les avoir aidés à améliorer leur « logiciel » directement dans le code source.