Ο source code ενός info-stealer malware (κακόβουλο λογισμικό που κλέβει πληροφορίες) που βασίζεται στη γλώσσα προγραμματισμού Rust, έχει κυκλοφορήσει σε hacking φόρουμ από τις 3 Ιουλίου, με τους αναλυτές ασφαλείας να αναφέρουν ήδη ότι το κακόβουλο λογισμικό χρησιμοποιείται ενεργά σε επιθέσεις.
Ο δημιουργός του ισχυρίζεται ότι το κακόβουλο λογισμικό αναπτύχθηκε σε μόλις έξι ώρες και είναι αρκετά αποτελεσματικό στην αποφυγή εντοπισμού, αφού το VirusTotal δείχνει ποσοστό ανίχνευσης περίπου 22%.
Καθώς το info-stealer malware είναι γραμμένο σε Rust, επιτρέπει στους παράγοντες απειλών να στοχεύουν πολλαπλά λειτουργικά συστήματα. Ωστόσο, στην τρέχουσα μορφή του, το νέο info-stealer στοχεύει μόνο Windows.
Δείτε επίσης: T-Mobile: Συμφωνεί να πληρώσει $ 350 εκατομμύρια σε πελάτες για την περσινή παραβίαση δεδομένων
 που βασίζεται στη γλώσσα προγραμματισμού Rust,){kind=link}
Δυνατότητες κακόβουλου λογισμικού
Αναλυτές της εταιρείας κυβερνοασφάλειας Cyble, οι οποίοι εξέτασαν το νέο info-stealer και το ονόμασαν “Luca Stealer“, αναφέρουν ότι το κακόβουλο λογισμικό διαθέτει τις δυνατότητες που έχουν συνήθως αυτού του είδους τα malware. Συγκεκριμένα, όταν εκτελείται, το κακόβουλο λογισμικό επιχειρεί να κλέψει δεδομένα από τριάντα προγράμματα περιήγησης που βασίζονται στο Chromium. Τα δεδομένου που κλέβει, είναι αποθηκευμένες πιστωτικές κάρτες, credentials σύνδεσης και cookies.
Επιπλέον, το malware στοχεύει μια σειρά από “cold” cryptocurrency και “hot” wallet browser addons, Steam accounts, Discord tokens, Ubisoft Play, εφαρμογές συνομιλίας, gaming apps και πολλά άλλα.
Εκεί που το Luca Stealer ξεχωρίζει έναντι άλλων info-stealer, είναι η εστίαση στα password manager browser addons, με στόχο την κλοπή τοπικά αποθηκευμένων δεδομένων από 17 εφαρμογές αυτού του είδους.
Σύμφωνα με τους ερευνητές, το συγκεκριμένο info-stealer πραγματοποιεί και λήψη screenshots και τα αποθηκεύει ως αρχεία .png, ενώ εκτελεί και ένα “whoami” για να δημιουργήσει ένα προφίλ του συστήματος και να στείλει τις λεπτομέρειες στους χειριστές του.
Δείτε επίσης: Η SonicWall προειδοποιεί για κρίσιμο σφάλμα SQL injection
Ωστόσο, αξίζει να σημειωθεί ότι το Luca Stealer δεν διαθέτει μια άλλη δυνατότητα που είναι συνηθισμένη σε άλλα info-stealer. Δεν έχει πρόγραμμα clipper, που χρησιμοποιείται για την τροποποίηση των περιεχομένων του clipboard με σκοπό την παραβίαση συναλλαγών κρυπτονομισμάτων.
Η απομάκρυνση των κλεμμένων δεδομένων γίνεται μέσω Discord webhooks ή Telegram bots, ανάλογα με το αν το αρχείο εξαγωγής είναι άνω των 50 MB ή όχι. Το κακόβουλο λογισμικό θα χρησιμοποιήσει ένα Discord webhook για να στείλει τα δεδομένα πίσω στους εισβολείς, για μεγαλύτερα αρχεία.
Τα κλεμμένα δεδομένα τοποθετούνται μέσα σε ένα αρχείο ZIP συνοδευόμενο από μια περίληψη των περιεχομένων, έτσι ώστε ο χειριστής να μπορεί να αξιολογήσει την έκταση της κλοπής με μια μόνο ματιά.
Luca Stealer: Νέα μεγάλη απειλή;
Η Cyble αναφέρει ότι έχει δει τουλάχιστον 25 περιπτώσεις χρήσης του Luca Stealer. Αυτό σημαίνει ότι ορισμένοι εγκληματίες του κυβερνοχώρου έχουν αξιοποιήσει τον source code του info-stealer malware που προσφέρεται δωρεάν σε hacking φόρουμ. Ωστόσο, δεν μπορούμε να γνωρίζουμε εάν αυτό το νέο κακόβουλο λογισμικό θα δει μαζική ανάπτυξη.
Δείτε επίσης: Η Entrust παραβιάστηκε από συμμορία ransomware
Ωστόσο, το γεγονός ότι προσφέρεται δωρεάν με source code θα μπορούσε να δελεάσει τους εγκληματίες, δεδομένου ότι τα περισσότερα info-stealer πωλούνται με μηνιαία συνδρομή. Επίσης, δεν πρέπει να ξεχνάμε ότι το Luca είναι γραμμένο σε Rust, πράγμα που σημαίνει ότι η μεταφορά του σε Linux ή macOS δεν είναι περίπλοκη.
Για την προστασία σας, οι ερευνητές της Cyble προτείνουν:
- Αποφυγή λήψης αρχείων από μη αξιόπιστες πηγές.
- Εκκαθάριση ιστορικού περιήγησης και επαναφορά κωδικών πρόσβασης σε τακτά χρονικά διαστήματα.
- Ενεργοποίηση της δυνατότητας αυτόματης ενημέρωσης λογισμικού στον υπολογιστή, το κινητό σας και άλλες συνδεδεμένες συσκευές.
- Χρήση ενός αξιόπιστου προγράμματος προστασίας από ιούς για όλες τις συσκευές σας.
- Αποφυγή ανοίγματος μη αξιόπιστων συνδέσμων και συνημμένων σε email χωρίς προηγουμένως να επαληθεύσετε την αυθεντικότητά τους.
- Εκπαίδευση υπαλλήλων σχετικά με τις διάφορες κυβερνοαπειλές
- Αποκλεισμός διευθύνσεων URL που θα μπορούσαν να χρησιμοποιηθούν για τη διάδοση του κακόβουλου λογισμικού, π.χ. Torrent/Warez.
- Παρακολούθηση beacon σε επίπεδο δικτύου για αποκλεισμό εξαγωγής δεδομένων από κακόβουλο λογισμικό.
- Ενεργοποίηση λύσης Data Loss Prevention (DLP) στα συστήματα των εργαζομένων.
Πηγή: www.bleepingcomputer.com