Μια νέα παραλλαγή infostealer, η οποία συνδυάζει τυπικές τεχνικές κακόβουλου λογισμικού με ασυνήθιστα προηγμένα χαρακτηριστικά γνωστή ως Chihuahua, έχει εντοπιστεί.
Δείτε επίσης: TerraStealerV2 & TerraLogger: Τα νέα malware των hackers Golden Chickens
Το κακόβουλο λογισμικό Chihuahua infostealer, εντοπίστηκε αρχικά από έναν χρήστη του Reddit τον Απρίλιο του 2025 και αναλύθηκε από την εταιρεία G Data CyberDefense, η οποία δημοσίευσε τα ευρήματά της σε αναφορά στις 13 Μαΐου.
Παρόλο που φαίνεται απλοϊκό στην επιφάνεια, αυτό το infostealer γραμμένο σε .NET χρησιμοποιεί εξελιγμένες μεθόδους, όπως ύπουλη φόρτωση, επιμονή μέσω προγραμματισμένων εργασιών και σταδιακή εκτέλεση πολλαπλών φάσεων. Στις 9 Απριλίου, ένας χρήστης στο subreddit r/antivirus περιέγραψε πώς παραπλανήθηκε ώστε να εκτελέσει ένα παραπλανητικό PowerShell script από έγγραφο στο Google Drive.
Κατά την ανάλυση, η G Data CyberDefense ανακάλυψε ότι ο φορτωτής με βάση το PowerShell ενεργοποιεί μια πολύπλοκη αλυσίδα εκτέλεσης πολλαπλών σταδίων, η οποία χρησιμοποιεί κωδικοποίηση Base64, απόκρυψη μέσω δεκαεξαδικών συμβολοσειρών και προγραμματισμένες εργασίες για να διατηρεί την παρουσία του στο σύστημα.
Ο φορτωτής έχει σχεδιαστεί να είναι αρθρωτός και δυσδιάκριτος, ανακτώντας επιπλέον κακόβουλα φορτία από εναλλακτικούς command-and-control (C2) servers, όποτε χρειάζεται.
Δείτε ακόμα: Gremlin Stealer: Νέο info-stealer διαφημίζεται στο Telegram
Το Chihuahua infostealer ξεκινά την εκτέλεσή του με τη συνάρτηση DedMaxim(), η οποία εμφανίζει στίχους ρωσικής ραπ σε λατινική μεταγραφή, με μικρές παύσεις μεταξύ των στίχων. Οι ερευνητές της G Data θεωρούν ότι πρόκειται για ένα είδος «υπογραφής» του δημιουργού, χωρίς όμως να εξυπηρετεί κάποιο λειτουργικό σκοπό.
Μετά την εμφάνιση των στίχων, το κακόβουλο λογισμικό προχωρά στην κύρια λειτουργία του μέσω της συνάρτησης PopilLina(). Εκεί, συλλέγει το όνομα του υπολογιστή και τον σειριακό αριθμό του δίσκου μέσω του Windows Management Instrumentation (WMI), τους αποκρύπτει και τους κατακερματίζει ώστε να δημιουργήσει ένα μοναδικό αναγνωριστικό για το μολυσμένο σύστημα. Το αναγνωριστικό αυτό χρησιμοποιείται για την ονομασία του αρχείου και του φακέλου όπου θα αποθηκευτούν τα δεδομένα που θα εξαχθούν.
Αφού δημιουργηθεί το μοναδικό αναγνωριστικό του θύματος και διαμορφωθεί ένας προσωρινός φάκελος εργασίας, το Chihuahua Infostealer ξεκινά την εξαγωγή δεδομένων αναζητώντας αρχεία browser και πορτοφολιών κρυπτονομισμάτων στους καταλόγους των χρηστών.
Δείτε επίσης: Η UAC-0226 αναπτύσσει το GIFTEDCROOK Stealer μέσω Excel
Χρησιμοποιεί μια συνάρτηση για να σαρώσει δυναμικές διαδρομές (με μεταβλητές όπως %USERPROFILE%) προκειμένου να εντοπίσει εγκατεστημένους browsers. Στη συνέχεια, μέσω άλλης συνάρτησης, προχωρά στη συστηματική εξαγωγή διαπιστευτηρίων, cookies, δεδομένων αυτόματης συμπλήρωσης, ιστορικού περιήγησης, ενεργών συνεδριών και πληροφοριών πληρωμών από κάθε εντοπισμένο browser. Επιπλέον, στοχεύει επεκτάσεις πορτοφολιών κρυπτονομισμάτων, εντοπίζοντας και αντιγράφοντας δεδομένα από φακέλους που σχετίζονται με γνωστά IDs τέτοιων επεκτάσεων.
Πηγή: infosecurity-magazine
