Scena złośliwego oprogramowania ma nowy podmiot w bloku: Wściekły złodziej, rebranding Złodziej wściekłości. To nie jest tylko aktualizacja złośliwego oprogramowania; to skok do świata, w którym Twoje prywatne dane są pobierane za pomocą platformy tak popularnej jak Telegram. Wyobraź sobie to: bot, który wchodzi do Twojego systemu i zabiera wszystko – Twoje dane do logowania, informacje bankowe, nawet Twoje portfele kryptowalutowe.
Szkodnik wykorzystuje m.in Interfejs API bota telegramu w celu zorganizowania kradzieży danych, umożliwiając mu działanie bez bezpośredniej kontroli ze strony atakującego. Ta automatyzacja czyni ją niebezpieczną, ponieważ może działać w sposób ciągły, ciągła eksfiltracja danych bez ręcznej interwencji.
Przegląd wściekłego złodzieja
Angry Stealer jest wyposażony w takie ładunki jak MotherRussia.exe, zwiększając jego możliwości. Jest to 32-bitowy plik wykonywalny Win32, zazwyczaj napisane w .NET, zaprojektowany z myślą o szerokiej kompatybilności z różnymi systemami.
Skradzione dane
- Dane logowania
- Informacje bankowe
- Portfele kryptowalutowe
- Historia przeglądania
Analiza ładunku
| Nieruchomość | Wartość |
|---|---|
| MD5 | 08C3CB87AA0BF981A3503C116A952B04 |
| SHA-256 | bb72a4c76034bd0b757b6a1e0c8265868563d11271a22d4ae26cb9fe3584a07d |
| Typ pliku | Win32 EXE |
Plik binarny działa jak dropper, tworzenie i wykonywanie ładunków, takich jak Stepasha.exe I MotherRussia.exe w katalogach tymczasowych systemu, wykonując je w celu wykonania wyznaczonych im zadań.
Proces wykonania
Po wykonaniu, szkodliwe oprogramowanie wykonuje szereg działań:
- Sprawdza istniejące instancje, aby zapobiec duplikacjom.
- Tworzy i wykonuje osadzone ładunki, aby uniknąć wykrycia.
- Zbiera i eksfiltruje dane za pośrednictwem wstępnie skonfigurowanego kanału Telegramu.
The “Wściekły złodziej” Kanał Telegram działa jako centrum marketingu i rozpowszechniania złośliwego oprogramowania. Jego opis przypisuje rozwój “@InfoSecSpy,” i zapewnia bezpośredni kontakt “t.me/Xrebone” dla interakcji. Operatorzy aktywnie wykorzystują ten kanał do łączenia się z potencjalnymi klientami i przesyłania aktualizacji na temat szkodliwego oprogramowania, prezentujące strategiczne wykorzystanie Telegramu do ułatwiania działalności cyberprzestępczej. Praktyka ta wpisuje się w szerszy trend, zgodnie z którym cyberprzestępcy wykorzystują Telegram jako centralną platformę operacyjną.
Korzystanie z interfejsu API bota Telegramu w celu ukrycia eksfiltracji danych. I gdzie trafiają wszystkie te skradzione dane? Wracając do cyberprzestępców za pośrednictwem bota, nie wymaga interakcji międzyludzkiej.
| Zastosowanie | Angry Stealer dystrybuowany na Telegramie i innych platformach internetowych jako 32-bitowy plik wykonywalny Win32 napisany w .NET. |
| Eksfiltracja danych | Celuje w poufne dane, takie jak dane przeglądarki, i je eksfiltruje, portfele kryptowalutowe, Dane uwierzytelniające VPN, oraz informacje o systemie wykorzystujące Telegram do wydobywania danych. Dane są spakowane i przesyłane z pominięciem weryfikacji SSL. |
| Relacja | Udostępnia identyczny kod, zachowanie, i funkcjonalność z “Złodziej wściekłości,” wskazując na bezpośrednią ewolucję mającą na celu poprawę jego niewidzialności i skuteczności. |
| Dystrybucja | Sprzedawane na różnych platformach internetowych, w tym strony internetowe i kanały Telegramu, jako narzędzie nielegalnej kradzieży danych. |
| Wskaźniki | Użycie języka rosyjskiego w komentarzach do pliku manifestu sugeruje potencjalnych autorów rosyjskojęzycznych. |
| Ładunki | Zawiera “MotherRussia.exe,” znany również jako “Akcesor RDP V4,” narzędzie do tworzenia złośliwych plików wykonywalnych związanych z operacjami zdalnego pulpitu i interakcjami z botami. |
| Zalecenia | Stanowi poważne zagrożenie ze względu na wszechstronne możliwości kradzieży danych. Organizacje powinny wdrożyć środki umożliwiające wykrywanie i zapobieganie wyciekowi danych. |
Teraz, porozmawiajmy o obronie. Konieczne jest zaktualizowane oprogramowanie i złożone hasła, ale to tylko podstawy. W dzisiejszym świecie, gdzie szczegółowo opisano Twój ślad cyfrowy, potrzebna jest czujność. Organizacje zachęca się do wdrożenia solidnych środków bezpieczeństwa API w celu zwalczania tego zagrożenia. Dlaczego? Ponieważ Angry Stealer wykorzystuje dryf API, gdzie rzeczywiste zachowanie interfejsu API odbiega od oczekiwanego zachowania, otwarcie luk.
Patrząc w przyszłość, przyszłość wydaje się dojrzała dla tego typu stealth, ataki złośliwego oprogramowania zintegrowane z mediami społecznościowymi. Wtapiają się w nasze cyfrowe życie. Można się spodziewać, że autorzy szkodliwego oprogramowania będą kontynuować ten trend, ulepszanie oprogramowania, aby wyprzedzać środki bezpieczeństwa. To jest gra, ale stawką są nasze dane osobowe i finansowe.
Groźby cyberbezpieczeństwa ujawnione w marcu 2025
Marsz 2025 odnotowano znaczącą ewolucję w taktykach cybernetycznych, z grupami ransomware przyjmującymi nowe techniki i rozszerzają swoją działalność. Badacze bezpieczeństwa zidentyfikowali w tym miesiącu kilka zagrożeń o wysokim wpływie,…
PUA:Win32/rdpwrap – Co robić?
Jeśli kiedykolwiek spotkałeś ostrzeżenie pua:Win32/rdpwrap na komputerze systemu Windows, Być może zastanawiasz się: Czy mój system jest zarażony? Czy powinienem panikować? Podczas gdy to ostrzeżenie może być niepokojące, To ważne…
Ale tutaj jest szersza implikacja. Ponieważ złośliwe oprogramowanie takie jak Angry Stealer staje się coraz bardziej powszechne, granica między cyberprzestępczością a narzędziami programowymi codziennego użytku zaciera się. Dzisiaj, to bot Telegramu; jutro, może to być kolejna popularna aplikacja, która zamienia się w broń kradnącą dane. Rodzi to pytania o bezpieczeństwo naszych codziennych narzędzi cyfrowych i prywatność, którą często uważamy za oczywistość.
Nie jesteśmy już tylko użytkownikami; jesteśmy celem rozwijającej się wojny z cyberprzestępczością. Narzędzia, których używamy do łączenia się, udział, i zarządzanie naszym życiem to te same narzędzia, które cyberprzestępcy wykorzystują do osłabiania naszego bezpieczeństwa. Co możemy zrobić?? Bądź na bieżąco, pozostań sceptyczny, i inwestuj w cyberbezpieczeństwo, jakby było to koniecznością, nie tylko opcja. Ponieważ w epoce cyfrowej, następna wiadomość phishingowa lub złośliwy bot mogą czaić się w następnej aktualizacji aplikacji lub otrzymanej wiadomości.
Podsumowując, Angry Stealer to coś więcej niż tylko złośliwe oprogramowanie; to drogowskaz na przyszłość cyberzagrożeń – świat, w którym nasze codzienne technologie są bronią używaną przeciwko nam. To wezwanie do walki o silniejszych, mądrzejsze środki cyberbezpieczeństwa i przypomnienie, że w cyfrowym świecie, czujność jest ceną bezpieczeństwa. Nie czekajmy, aż staniemy się ofiarami. Zamiast, Uzbrójmy się i chrońmy cyfrowe granice, które nazywamy domem.