Malwarová scéna má na bloku novou entitu: Rozzlobený zloděj, rebrand z Zloděj vzteku. Nejedná se pouze o upgrade malwaru; je to skok do sféry, kde jsou vaše soukromá data získávána pomocí platformy tak běžné, jako je Telegram. Představte si to: robot, který vstoupí do vašeho systému a vezme si vše – vaše přihlašovací údaje, bankovní informace, dokonce i vaše kryptopeněženky.
Malware používá a Telegram bot API organizovat krádež dat, umožňující provoz bez přímé kontroly útočníkem. Tato automatizace je nebezpečná, protože může fungovat nepřetržitě, neustálá exfiltrace dat bez ručního zásahu.
Přehled Angry Stealer
Angry Stealer je zabalen s užitečným zatížením, jako je MotherRussia.exe, posílení jeho schopností. Jedná se o 32bitový spustitelný soubor Win32, obvykle napsaný v .NET, navrženy pro širokou kompatibilitu napříč různými systémy.
Ukradená data
- Přihlašovací údaje
- Bankovní informace
- Kryptoměnové peněženky
- Historie procházení
Analýza užitečného zatížení
| Vlastnictví | Hodnota |
|---|---|
| MD5 | 08C3CB87AA0BF981A3503C116A952B04 |
| SHA-256 | bb72a4c76034bd0b757b6a1e0c8265868563d11271a22d4ae26cb9fe3584a07d |
| Typ souboru | Win32 EXE |
Binární soubor funguje jako kapátko, vytváření a spouštění užitečného zatížení, jako je Stepasha.exe a MotherRussia.exe v dočasných adresářích systému, provádějící tyto úkoly, aby mohly plnit své určené úkoly.
Proces provádění
Při popravě, malware provádí řadu akcí:
- Kontroluje existující instance, aby se zabránilo duplicitě.
- Vytváří a spouští vložené užitečné zatížení, aby se zabránilo detekci.
- Shromažďuje a získává data prostřednictvím předem nakonfigurovaného kanálu telegramu.
The “Rozzlobený zloděj” Kanál Telegram funguje jako centrum pro marketing a šíření malwaru. Jeho popis připisuje vývoj “@InfoSecSpy,” a poskytuje přímý kontakt “t.me/Xrebone” pro interakce. Tento kanál jeho operátoři aktivně využívají ke spojení s potenciálními klienty a vysílání aktualizací o malwaru, předvádějící strategické využití telegramu k usnadnění jejich kyberzločineckých aktivit. Tato praxe je v souladu s širším trendem, kdy kyberzločinci využívají Telegram jako centrální operační platformu.
Použití rozhraní API robota Telegram k utajení exfiltrace dat. A kam jdou všechna tato ukradená data? Hned zpět k kyberzločincům prostřednictvím robota, není potřeba žádná lidská interakce.
| Nasazení | Angry Stealer distribuovaný na Telegramu a dalších online platformách jako 32bitový spustitelný soubor Win32 napsaný v .NET. |
| Exfiltrace dat | Cílí a exfiltruje citlivá data, jako jsou data prohlížeče, kryptoměnové peněženky, Přihlašovací údaje VPN, a systémové informace pomocí telegramu pro exfiltraci dat. Data jsou zazipována a nahrána bez ověření SSL. |
| Vztah | Sdílí identický kód, chování, a funkčnost s “Zloděj vzteku,” což naznačuje přímou evoluci ke zvýšení jeho utajení a účinnosti. |
| Rozdělení | Prodává se na různých online platformách, včetně webových stránek a telegramových kanálů, jako nástroj pro nezákonnou krádež dat. |
| Ukazatele | Použití ruského jazyka v komentářích souboru manifestu naznačuje možné rusky mluvící autory. |
| Užitečné zatížení | Zahrnuje “MotherRussia.exe,” také známý jako “RDP Accessor V4,” nástroj pro vytváření škodlivých spustitelných souborů souvisejících s operacemi vzdálené plochy a interakcí robotů. |
| Doporučení | Představuje významnou hrozbu kvůli komplexním možnostem krádeže dat. Organizace by měly zavést opatření k detekci a zabránění exfiltraci dat. |
Teď, pojďme diskutovat o obraně. Je nutný aktualizovaný software a složitá hesla, ale to jsou jen základy. V dnešním světě, kde je vaše digitální stopa podrobná, je nutná ostražitost. Organizace se vyzývají, aby zavedly robustní bezpečnostní opatření API pro boj s touto hrozbou. Proč? Protože Angry Stealer využívá drift API, kde se skutečné chování API liší od očekávaného chování, otevření zranitelností.
Pohled dopředu, budoucnost se zdá být zralá pro tyto typy kradmých věcí, útoky malwaru integrované do sociálních médií. Prolínají se s našimi digitálními životy. Očekávejte, že autoři malwaru budou v tomto trendu pokračovat, vyladění jejich softwaru, aby zůstali o krok před bezpečnostními opatřeními. je to hra, ale v sázce jsou naše osobní a finanční údaje.
Virus rozšíření SwiftSeek pro Chrome
Naši výzkumníci nedávno narazili na SwiftSeek, rozšíření prohlížeče nalezené v instalačním programu propagovaném zavádějící webovou stránkou při běžné kontrole podezřelých stránek. Browser hijackers like SwiftSeek change…
Hlas Virus (.hlas File) Ransomware
Virus Hlas je novým členem rodiny ransomwaru STOP/Djvu, který cílí na počítače se systémem Windows. Způsobuje značné narušení šifrováním souborů a připojením a “.Hlas” rozšíření na jejich…
Ale je zde širší význam. Jak se malware jako Angry Stealer stává častějším, Hranice mezi kyberzločinem a každodenními softwarovými nástroji se stírá. Dnes, je to telegramový robot; zítra, mohla by to být další populární aplikace, která se změní ve zbraň na krádeže dat. To vyvolává otázky týkající se bezpečnosti našich každodenních digitálních nástrojů a soukromí, které často považujeme za samozřejmost.
Už nejsme jen uživatelé; jsme terčem vyvíjející se války proti kyberzločinu. Nástroje, které používáme k připojení, podíl, a řídit naše životy jsou stejné nástroje, které využívají kyberzločinci k podkopávání naší bezpečnosti. Co můžeme dělat? Zůstaňte informováni, zůstat skeptický, a investovat do kybernetické bezpečnosti, jako by to bylo nutné, nejen možnost. Protože v tomto digitálním věku, další phishingový e-mail nebo škodlivý robot se může skrývat v další aktualizaci aplikace nebo zprávě, kterou obdržíte.
Na závěr, Angry Stealer je víc než jen kus malwaru; je to ukazatel pro budoucnost kybernetických hrozeb – svět, kde jsou naše každodenní technologie zbraněmi používanými proti nám. Je to volání do zbraně pro silnější, chytřejší opatření v oblasti kybernetické bezpečnosti a připomenutí, že v digitálním světě, bdělost je cenou za bezpečnost. Nečekejme, až budeme oběťmi. Namísto, pojďme se obrnit a chránit digitální hranice, které nazýváme domovem.