Οι υπεύθυνοι για την ανάπτυξη του StealC — ενός δημοφιλούς εργαλείου που χρησιμοποιείται για την κλοπή δεδομένων (info-stealer malware) και τη διανομή κακόβουλου λογισμικού — προχώρησαν στην κυκλοφορία της δεύτερης κύριας έκδοσής του, η οποία περιλαμβάνει σημαντικές βελτιώσεις όσον αφορά την αποφυγή εντοπισμού και την αποτελεσματικότητα στην κλοπή πληροφοριών.
Οι δημιουργοί του StealC νοικιάζουν το malware και σε άλλους hackers. Η πιο πρόσφατη έκδοση του StealC προσφέρθηκε σε εγκληματίες του κυβερνοχώρου τον Μάρτιο του 2025. Ωστόσο, μόλις πρόσφατα οι ειδικοί της Zscaler δημοσίευσαν μια λεπτομερή ανάλυση.
Επιπλέον, στις εβδομάδες που ακολούθησαν την κυκλοφορία της νέας έκδοσης, προστέθηκαν αρκετές μικρότερες αναβαθμίσεις που διόρθωσαν σφάλματα και εισήγαγαν νέες δυνατότητες. Η πιο πρόσφατη από αυτές είναι η έκδοση 2.2.4.
Δείτε επίσης: Χάκερ χρησιμοποιούν το Eye Pyramid Tool για να αναπτύξουν malware
Το StealC αποτελεί ένα “ελαφρύ” κακόβουλο λογισμικό που στοχεύει στην υποκλοπή δεδομένων και γνώρισε ιδιαίτερη απήχηση στο dark web στις αρχές του 2023. Οι hackers μπορούσαν να αποκτήσουν πρόσβαση σε αυτό, πληρώνοντας μια συνδρομή (200 δολάρια μηνιαίως).
Μέχρι το τέλος του 2024, είχε επιβεβαιωθεί ότι η ανάπτυξη του StealC συνεχιζόταν με εντατικούς ρυθμούς. Οι δημιουργοί του πρόσθεσαν, μάλιστα, έναν μηχανισμό που παρακάμπτει τα μέτρα ασφαλείας του Chrome για προστασία των cookies («App-Bound Encryption»), επιτρέποντας την “επαναφορά” ληγμένων cookies για πρόσβαση σε λογαριασμούς Google.
Τι νέο φέρνει η πιο πρόσφατη έκδοση του StealC
Σύμφωνα με τη Zscaler, η δεύτερη έκδοση του StealC και οι μετέπειτα παραλλαγές της φέρνουν αρκετές αναβαθμίσεις, με τις πιο σημαντικές να είναι:
- Σημαντικές βελτιώσεις στον τρόπο με τον οποίο παραδίδεται το κακόβουλο payload, με υποστήριξη για εκτελέσιμα αρχεία EXE, MSI packages και PowerShell scripts, ενώ η ενεργοποίησή του μπορεί να προσαρμοστεί ανάλογα με τις ανάγκες.
- Προστέθηκε κρυπτογράφηση RC4 τόσο για code strings όσο και για τις επικοινωνίες με τους διακομιστές εντολών και ελέγχου (C2), με τυχαίες παραμέτρους στα C2 responses ώστε να είναι πιο δύσκολη η ανίχνευσή τους.
- Η αρχιτεκτονική και ο τρόπος εκτέλεσης του κακόβουλου λογισμικού έχουν βελτιωθεί, με τα νέα payloads να μεταγλωττίζονται ειδικά για 64-bit συστήματα. Επιπλέον, έχει προστεθεί και μια self-deletion διαδικασία μετά την ολοκλήρωση της επίθεσης.
- Ένα νέο, ενσωματωμένο εργαλείο επιτρέπει στους χειριστές να κατασκευάζουν παραλλαγές του StealC, βασισμένες σε πρότυπα και εξατομικευμένους κανόνες υποκλοπής δεδομένων.
- Πλέον υπάρχει δυνατότητα αποστολής ειδοποιήσεων σε πραγματικό χρόνο μέσω του Telegram, για άμεση ενημέρωση των κυβερνοεγκληματιών.
- Επίσης, έχει προστεθεί λειτουργία για λήψη screenshots από το desktop του θύματος, με υποστήριξη για συστήματα με πολλαπλές οθόνες.
Δείτε επίσης: Το Tsunami malware διαθέτει Miners και Credential Stealers
Ωστόσο, σύμφωνα με τους ερευνητές, κάποιες προηγούμενες δυνατότητες φαίνεται να αφαιρέθηκαν (π.χ. έλεγχοι για εικονικά περιβάλλοντα (anti-VM) και δυνατότητα λήψης και εκτέλεσης βιβλιοθηκών DLL).
Αυτό ίσως δείχνει μια προσπάθεια να γίνει το κακόβουλο λογισμικό πιο απλό και ευέλικτο ή ενδέχεται να πρόκειται για παρενέργεια από εκτεταμένες αλλαγές στον κώδικα. Δεν αποκλείεται αυτές οι λειτουργίες να επανέλθουν σε μελλοντικές, βελτιωμένες εκδόσεις.
Σύμφωνα με τις πιο πρόσφατες αναλύσεις της Zscaler, το StealC malware διανέμεται συχνά μέσω του Amadey, ενός ξεχωριστού malware loader, αν και διάφοροι χειριστές μπορεί να επιλέγουν διαφορετικές μεθόδους διανομής ή στρατηγικές επίθεσης.
Για να προστατεύσετε τα προσωπικά σας δεδομένα από τέτοιου είδους απειλές, συνιστάται να μην αποθηκεύετε ευαίσθητες πληροφορίες στο πρόγραμμα περιήγησης, να ενεργοποιείτε την πολυπαραγοντική ταυτοποίηση για την ασφάλεια των λογαριασμών σας και να αποφεύγετε τη λήψη πειρατικού ή μη αξιόπιστου λογισμικού.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Πηγή: www.bleepingcomputer.com
