Siber güvenlik araştırmacıları, tehlikeye atılmış ana bilgisayarlardan hassas verileri sızdırmak için Discord botu kullanan, Java tabanlı yeni bir “gelişmiş” bilgi hırsızı keşfetti.
Kötü amaçlı yazılım, adı NS-STEALLERTrellix güvenlik araştırmacısı Gurumoorthi Ramanathan geçen hafta yayınlanan bir analizde, .
ZIP dosyasının içinde, ilk olarak “NS-” adlı bir klasör oluşturan kötü amaçlı bir JAR dosyasını dağıtmak için bir kanal görevi gören sahte bir Windows kısayol dosyası (“Yükleyici GAYve”) bulunur.<11-digit_random_number>“toplanan verileri depolamak için.
Kötü amaçlı yazılım daha sonra bu klasöre ekran görüntülerini, çerezleri, kimlik bilgilerini ve iki düzineden fazla web tarayıcısından çalınan otomatik doldurma verilerini, sistem bilgilerini, yüklü programların listesini, Discord belirteçlerini, Steam ve Telegram oturum verilerini kaydeder. Yakalanan bilgiler daha sonra Discord Bot kanalına aktarılır.
“Hassas bilgileri toplama ve kimlik doğrulamayı desteklemek için X509Certificate’i kullanma gibi son derece karmaşık işlevler göz önüne alındığında, bu kötü amaçlı yazılım, kurban sistemlerinden bilgileri hızlı bir şekilde çalabilir. [Java Runtime Environment]dedi Ramanathan.
“Sızdırılan verileri almaya yönelik bir EventListener olarak Discord bot kanalı aynı zamanda uygun maliyetlidir.”
Bu gelişme, Chaes (aka Chae$) kötü amaçlı yazılımının arkasındaki tehdit aktörlerinin, web tarayıcılarına girilen oturum açma bilgilerinin çalınmasından ve kripto işlemlerinin ele geçirilmesinden sorumlu olan Chronod modülünde iyileştirmeler içeren bilgi hırsızı için bir güncelleme (sürüm 4.1) yayınlamasıyla ortaya çıktı. .
Morphisec’e göre, kötü amaçlı yazılımı dağıtan enfeksiyon zincirleri, Chae$ 4.1’i etkinleştirmek için kötü amaçlı bir yükleyici dağıtmak üzere alıcıları sahte bağlantılara tıklamaya ikna etmek için Portekizce yazılmış yasal temalı e-posta tuzaklarından yararlanıyor.
Ancak ilginç bir değişiklikle geliştiriciler, geçmişte Chaes’i kapsamlı bir şekilde analiz etmiş olan güvenlik araştırmacısı Arnold Osipov’a da “yazılımlarını” doğrudan kaynak kodu içinde geliştirmelerine yardımcı oldukları için şükranlarını ifade eden mesajlar bıraktılar.