Ένας νέος information stealer που ονομάζεται Stealc εμφανίστηκε στο dark web και κερδίζει αναγνωρισιμότητα λόγω της επιθετικής προώθησης δυνατοτήτων κλοπής και ομοιοτήτων με κακόβουλο λογισμικό του ίδιου είδους όπως το Vidar, το Raccoon, το Mars και το Redline.
Ερευνητές ασφαλείας στην εταιρεία πληροφοριών για τις απειλές στον κυβερνοχώρο SEKOIA εντόπισαν το νέο στέλεχος τον Ιανουάριο και παρατήρησαν ότι άρχισε να προσελκύει χρήστες στις αρχές Φεβρουαρίου.
Πωλείται νέος stealer
Το Stealc έχει διαφημιστεί σε φόρουμ hacking από έναν χρήστη που ονομάζεται “Plymouth”, ο οποίος παρουσίασε το κακόβουλο λογισμικό ως ένα κομμάτι κακόβουλου λογισμικού με εκτεταμένες δυνατότητες κλοπής δεδομένων και έναν εύχρηστο πίνακα διαχείρισης.
Σύμφωνα με τον διαφημιστή, εκτός από την τυπική στόχευση δεδομένων του προγράμματος περιήγησης ιστού, επεκτάσεων και πορτοφολιών κρυπτονομισμάτων, το Stealc διαθέτει και ένα προσαρμόσιμο πρόγραμμα λήψης αρχείων που μπορεί να ρυθμιστεί ώστε να στοχεύει όποιους τύπους αρχείων θέλει να κλέψει ο χειριστής.
Μετά την αρχική ανάρτηση, ο Plymouth άρχισε να προωθεί το κακόβουλο λογισμικό σε άλλα φόρουμ hacking και σε ιδιωτικά κανάλια Telegram, προσφέροντας δείγματα δοκιμής σε πιθανούς πελάτες.
Ο πωλητής δημιούργησε και ένα κανάλι στο Telegram αφιερωμένο στη δημοσίευση των αρχείων καταγραφής αλλαγών της νέας έκδοσης του Stealc, με την πιο πρόσφατη να είναι η έκδοση 1.3.0, που κυκλοφόρησε στις 11 Φεβρουαρίου 2023. Το κακόβουλο λογισμικό έχει αναπτυχθεί ενεργά και μια νέα έκδοση εμφανίζεται στο κανάλι κάθε εβδομάδα.
Η Plymouth είπε επίσης ότι το Stealc δεν αναπτύχθηκε από το μηδέν, αλλά βασίστηκε στα Vidar, Raccoon, Mars και Redline.
Ένα κοινό χαρακτηριστικό που βρήκαν οι ερευνητές μεταξύ των Stealc και Vidar, Raccoon και Mars infostealers είναι ότι όλοι κάνουν λήψη νόμιμων DLL τρίτων (π.χ. sqlite3.dll, nss3.dll) για να βοηθήσουν στην κλοπή ευαίσθητων δεδομένων.
Σε μια έκθεση σήμερα, οι ερευνητές της SEKOIA σημειώνουν ότι οι επικοινωνίες εντολής και ελέγχου (C2) ενός από τα δείγματα που ανέλυσαν είχαν κοινές ομοιότητες με εκείνες των info-stealer Vidar και Raccoon.
Οι ερευνητές ανακάλυψαν περισσότερους από 40 C2 servers για το Stealc και αρκετές δεκάδες δείγματα κατά τα οποία χρησιμοποιείται, υποδεικνύοντας ότι το νέο κακόβουλο λογισμικό έχει προσελκύσει το ενδιαφέρον της κοινότητας των εγκληματιών στον κυβερνοχώρο.
Αυτή η δημοτικότητα μπορεί να οφείλεται στο γεγονός ότι οι πελάτες με πρόσβαση στον πίνακα διαχείρισης μπορούν να δημιουργήσουν νέα δείγματα stealer, τα οποία αυξάνουν τις πιθανότητες διαρροής του κακόβουλου λογισμικού σε ένα ευρύτερο κοινό.
Παρά το φτωχό επιχειρηματικό μοντέλο, η SEKOIA πιστεύει ότι το Stealc αποτελεί σημαντική απειλή καθώς θα μπορούσε να υιοθετηθεί από λιγότερο τεχνικούς εγκληματίες στον κυβερνοχώρο.
Οι λειτουργίες του Stealc
Από την αρχική του έκδοση τον Ιανουάριο, το Stealc έχει προσθέσει μια σειρά από χαρακτηριστικά τελευταίας τεχνολογίας, όπως η δυνατότητα τυχαίας επιλογής των διευθύνσεων URL C2, η βελτιωμένη διαχείριση των αρχείων καταγραφής με βελτιωμένες δυνατότητες αναζήτησης και ταξινόμησης, καθώς και ο αποκλεισμός των θυμάτων που βρίσκονται στην Ουκρανία.
Με βάρος μόλις 80KB, το Stealc είναι ένα ελαφρύ κακόβουλο λογισμικό που εκμεταλλεύεται νόμιμα DLL τρίτων κατασκευαστών γραμμένα σε C και κάνει κατάχρηση των λειτουργιών API των Windows. Τα strings που χρησιμοποιούνται είναι obfuscated με κρυπτογράφηση RC4 και base64 – καθιστώντας δύσκολο τον εντοπισμό του! Χωρίς να σταματά εκεί, ο κακόβουλος κώδικας εξάγει κλεμμένα δεδομένα αυτόματα από 22 προγράμματα περιήγησης στο διαδίκτυο, 75 plugins και 25 desktop wallets.
Η τρέχουσα αναφορά της SEKOIA δεν περιλαμβάνει όλα τα δεδομένα που λαμβάνονται από το reverse engineering Stealc, αλλά παρέχει μια επισκόπηση των κύριων βημάτων της εκτέλεσής της.
Πηγή πληροφοριών: bleepingcomputer.com
