Ngày 21 tháng 2 năm 2023Ravie LakshmananThông tin về mối đe dọa mạng
Một kẻ đánh cắp thông tin mới được gọi là đánh cắp đang được quảng cáo trên dark web có thể nổi lên như một đối thủ cạnh tranh xứng tầm với các phần mềm độc hại khác cùng loại.
SEKOIA cho biết trong một báo cáo hôm thứ Hai: “Kẻ đe dọa giới thiệu Stealc như một kẻ đánh cắp đầy đủ tính năng và sẵn sàng sử dụng, mà sự phát triển của chúng dựa trên những kẻ đánh cắp Vidar, Raccoon, Mars và RedLine”.
Công ty an ninh mạng của Pháp cho biết họ đã phát hiện ra hơn 40 mẫu Stealc được phân phối tự nhiên và 35 máy chủ chỉ huy và kiểm soát (C2) đang hoạt động, cho thấy phần mềm độc hại này đã thu hút được sự chú ý của các nhóm tội phạm.
Stealc, lần đầu tiên được tiếp thị bởi một diễn viên có tên Plymouth trên các diễn đàn ngầm nói tiếng Nga XSS và BHF vào ngày 9 tháng 1 năm 2023, được viết bằng C và có khả năng đánh cắp dữ liệu từ trình duyệt web, ví tiền điện tử, ứng dụng email và ứng dụng nhắn tin.
Phần mềm độc hại dưới dạng dịch vụ (MaaS) cũng tự hào về một công cụ lấy tệp “có thể tùy chỉnh” cho phép người mua của nó điều chỉnh mô-đun để hút các tệp quan tâm. Nó tiếp tục triển khai các khả năng của trình tải để triển khai các tải trọng bổ sung.
SEKOIA đã đánh giá với “sự tin tưởng cao rằng nhà phát triển bị cáo buộc của họ đã nhanh chóng khẳng định mình là một tác nhân đe dọa đáng tin cậy và phần mềm độc hại của họ đã giành được sự tin tưởng của tội phạm mạng đối phó với những kẻ đánh cắp thông tin.”
Trong số các vectơ phân phối được sử dụng để phân phối Stealc có các video trên YouTube được đăng từ các tài khoản bị xâm phạm liên kết đến một trang web bán phần mềm bị bẻ khóa (“rcc-software[.]com”).
Điều này cũng chỉ ra rằng những người dùng đang tìm cách cài đặt phần mềm vi phạm bản quyền trên YouTube là mục tiêu, phản ánh chiến thuật tương tự được áp dụng bởi một kẻ đánh cắp thông tin khác có tên là Aurora.
“Vì khách hàng của Stealc MaaS sở hữu một bản dựng bảng quản trị của nó để lưu trữ máy chủ C2 của kẻ đánh cắp và tự tạo các mẫu của kẻ đánh cắp, nên có khả năng bản dựng sẽ bị rò rỉ vào các cộng đồng ngầm trong thời gian trung hạn,” công ty cho biết thêm.
Theo nhà cung cấp phần mềm chống vi-rút Avast, FormBook, Agent Tesla, RedLine, LokiBot, Raccoon, Snake Keylogger và Arkei (cùng với nhánh Vidar của nó) chiếm các chủng phần mềm độc hại đánh cắp phổ biến nhất trong quý 4 năm 2022.
