Ένα νέο info-stealer, με το όνομα Gremlin Stealer, εντάσσεται στον κόσμο των κακόβουλων λογισμικών που στοχεύουν στην κλοπή πληροφοριών.
Σύμφωνα με έκθεση της Unit 42 της Palo Alto Networks, πραγματοποιήθηκε λεπτομερής τεχνική εξέταση του νέου αυτού κακόβουλου λογισμικού, που έρχεται να προστεθεί σε ένα ήδη ανησυχητικό τοπίο απειλών στον κυβερνοχώρο.
Το Gremlin Stealer έκανε την πρώτη του εμφάνιση στα μέσα Μαρτίου 2025, προωθούμενο κυρίως μέσω του Telegram, σε ένα κανάλι με το όνομα CoderSharp. Αν και βρίσκεται υπό ανάπτυξη, οι μέχρι τώρα δυνατότητές του αποδεικνύουν ότι είναι ήδη ικανό να υποκλέπτει δεδομένα από διάφορες εφαρμογές εγκατεστημένες σε υπολογιστές που τρέχουν Windows. Οι στόχοι του περιλαμβάνουν προγράμματα περιήγησης ιστού, το περιεχόμενο του clipboard, καθώς και αρχεία αποθηκευμένα τοπικά στο δίσκο.
Δείτε επίσης: Το Tsunami malware διαθέτει Miners και Credential Stealers
Το κακόβουλο λογισμικό είναι ανεπτυγμένο στη γλώσσα C#, συλλέγει δεδομένα από τα συστήματα-στόχους και τα αποστέλλει σε απομακρυσμένο διακομιστή που ελέγχεται από τον επιτιθέμενο. Σύμφωνα με τους ερευνητές, το info-stealer Gremlin Stealer είναι ικανό να παρακάμπτει τη νεότερη προστασία Chrome cookie V20 protection και λειτουργεί με τρόπο που δυσκολεύει τον εντοπισμό του από λογισμικά προστασίας.
Το Gremlin μπορεί να αποσπάσει ποικίλα είδη πληροφοριών, όπως:
- Clipboard data σε local device
- Screenshots από local device
- Local device metadata (π.χ. BSID, HVID, RAM, CPU, GPU και IP address)
- Στοιχεία πιστωτικών καρτών, browser cookies, passwords και φόρμες από διάφορους Chromium-και Gecko-based browsers
- Πληροφορίες πορτοφολιών crypto
- File Transfer Protocol (FTP) service data
- Virtual private network (VPN) credentials
- Steam data (π.χ. token and session data)
- Discord tokens
- Telegram session data
Αφού το Gremlin Stealer ολοκληρώσει τη συλλογή των ευαίσθητων δεδομένων, προχωρά στη δημιουργία ενός φακέλου στον κατάλογο LOCAL_APP_DATA του υπολογιστή, όπου αποθηκεύει τις πληροφορίες σε μορφή απλού κειμένου. Τα επιμέρους αρχεία στη συνέχεια συμπιέζονται σε ένα αρχείο τύπου ZIP, το οποίο μεταφορτώνεται σε απομακρυσμένο διακομιστή μέσω της διεύθυνσης URL hxxp[:]//207.244.199[.]46/index.php. Στη συνέχεια στέλνει αυτά τα δεδομένα χρησιμοποιώντας ένα Telegram bot και ανεβάζει τα κλεμμένα δεδομένα στον διακομιστή χρησιμοποιώντας ένα hard-coded Telegram API key.
Δείτε επίσης: Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω Excel
Η ομάδα κυβερνοεγκληματιών που βρίσκεται πίσω από τη δημιουργία και διάθεση του Gremlin Stealer ισχυρίζεται ότι έχει ήδη αποθηκεύσει μεγάλο όγκο κλεμμένων δεδομένων από μολυσμένα συστήματα σε έναν εξειδικευμένο server που λειτουργεί ως μέρος της κακόβουλης υποδομής τους (στην IP διεύθυνση 207.244.199[.]46). Αυτός ο διακομιστής λειτουργεί ως κεντρικό σημείο αποθήκευσης και διαχείρισης των δεδομένων που υποκλέπτονται μέσω του κακόβουλου λογισμικού.
Στον ιστότοπο που σχετίζεται με το Gremlin Stealer φιλοξενούνται αυτή τη στιγμή 14 συμπιεσμένα αρχεία ZIP, τα οποία περιλαμβάνουν πληροφορίες που έχουν κλαπεί.
Προστασία από info-stealer malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Arcane: Νέο info-stealer malware στοχεύει χρήστες μέσω game cheats
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer (π.χ. Gremlin Stealer).
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: www.infosecurity-magazine.com
