WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Chi tiết dòng mã độc đánh cắp thông tin Saintstealer và Prynt Stealer
Các nhà nghiên cứu an ninh mạng đã phân tích chi tiết hoạt động của mã độc Saintstealer được thiết kế để lấy cắp thông tin đăng nhập và thông tin hệ thống.
“Sau khi thực thi, kẻ gian trích xuất tên người dùng, mật khẩu, chi tiết thẻ tín dụng... đồng thời đánh cắp dữ liệu từ nhiều vị trí khác nhau trên toàn hệ thống và nén nó trong một tệp ZIP được bảo vệ bằng mật khẩu”, các nhà nghiên cứu Cyble cho biết.
Là tệp thực thi dựa trên C# .NET 32-bit với tên “Holygang.exe”, Saintstealer được trang bị tính năng kiểm tra chống phân tích, chọn tự kết thúc nếu đang chạy trong môi trường ảo hoặc hộp cát.
Mã độc có thể thu thập nhiều loại thông tin, từ chụp ảnh màn hình đến thu thập mật khẩu, cookie và dữ liệu tự động điền được lưu trữ trong các trình duyệt dựa trên Chromium như Google Chrome, Opera, Edge, Brave, Vivaldi và Yandex...
Saintstealer cũng có thể đánh cắp mã thông báo xác thực đa yếu tố Discord, tệp có phần mở rộng .txt, .doc và .docx cũng như trích xuất thông tin từ các ứng dụng VimeWorld, Telegram và VPN như NordVPN, OpenVPN và ProtonVPN.
Bên cạnh việc truyền thông tin đã nén tới kênh Telegram, siêu dữ liệu liên quan đến dữ liệu đã tách lọc được gửi đến máy chủ điều khiển và kiểm soát từ xa (C2).
Hơn nữa, địa chỉ IP được liên kết với miền của máy chủ C2 - 141.8.197[.]42 - được liên kết với nhiều dòng mã độc đánh cắp thông tin như Nixscare stealer, BloodyStealer, QuasarRAT, Predator và EchelonStealer.
Theo các nhà nghiên cứu, những kẻ đánh cắp thông tin có thể gây hại cho các cá nhân cũng như các tổ chức lớn. Nếu có được quyền truy cập vào cơ sở hạ tầng, Saintstealer có thể gây ra những tác động tàn phá đối với cấu trúc mạng của tổ chức mục tiêu.
Tiết lộ trên được đưa ra khi một mã độc lừa đảo mới có tên Prynt Stealer xuất hiện trong thực tế và cũng có thể thực hiện các hoạt động ghi khóa và trộm cắp tài chính bằng cách sử dụng mô-đun clipper. Mã độc này có thể nhắm mục tiêu đến hơn 30 trình duyệt dựa trên Chromium, hơn 5 trình duyệt dựa trên Firefox và một loạt các ứng dụng VPN, FTP, nhắn tin và trò chơi.
Được bán với giá 100 đô la cho 1 tháng hoạt động và 900 đô la cho đăng ký trọn đời, mã độc này nằm trong danh sách dài những mã độc đánh cắp thông tin được quảng cáo gần đây, bao gồm Jester, BlackGuard, Mars Stealer, META, FFDroider và Lightning Stealer.
“Sau khi thực thi, kẻ gian trích xuất tên người dùng, mật khẩu, chi tiết thẻ tín dụng... đồng thời đánh cắp dữ liệu từ nhiều vị trí khác nhau trên toàn hệ thống và nén nó trong một tệp ZIP được bảo vệ bằng mật khẩu”, các nhà nghiên cứu Cyble cho biết.
Là tệp thực thi dựa trên C# .NET 32-bit với tên “Holygang.exe”, Saintstealer được trang bị tính năng kiểm tra chống phân tích, chọn tự kết thúc nếu đang chạy trong môi trường ảo hoặc hộp cát.
Mã độc có thể thu thập nhiều loại thông tin, từ chụp ảnh màn hình đến thu thập mật khẩu, cookie và dữ liệu tự động điền được lưu trữ trong các trình duyệt dựa trên Chromium như Google Chrome, Opera, Edge, Brave, Vivaldi và Yandex...
Saintstealer cũng có thể đánh cắp mã thông báo xác thực đa yếu tố Discord, tệp có phần mở rộng .txt, .doc và .docx cũng như trích xuất thông tin từ các ứng dụng VimeWorld, Telegram và VPN như NordVPN, OpenVPN và ProtonVPN.
Bên cạnh việc truyền thông tin đã nén tới kênh Telegram, siêu dữ liệu liên quan đến dữ liệu đã tách lọc được gửi đến máy chủ điều khiển và kiểm soát từ xa (C2).
Hơn nữa, địa chỉ IP được liên kết với miền của máy chủ C2 - 141.8.197[.]42 - được liên kết với nhiều dòng mã độc đánh cắp thông tin như Nixscare stealer, BloodyStealer, QuasarRAT, Predator và EchelonStealer.
Theo các nhà nghiên cứu, những kẻ đánh cắp thông tin có thể gây hại cho các cá nhân cũng như các tổ chức lớn. Nếu có được quyền truy cập vào cơ sở hạ tầng, Saintstealer có thể gây ra những tác động tàn phá đối với cấu trúc mạng của tổ chức mục tiêu.
Tiết lộ trên được đưa ra khi một mã độc lừa đảo mới có tên Prynt Stealer xuất hiện trong thực tế và cũng có thể thực hiện các hoạt động ghi khóa và trộm cắp tài chính bằng cách sử dụng mô-đun clipper. Mã độc này có thể nhắm mục tiêu đến hơn 30 trình duyệt dựa trên Chromium, hơn 5 trình duyệt dựa trên Firefox và một loạt các ứng dụng VPN, FTP, nhắn tin và trò chơi.
Được bán với giá 100 đô la cho 1 tháng hoạt động và 900 đô la cho đăng ký trọn đời, mã độc này nằm trong danh sách dài những mã độc đánh cắp thông tin được quảng cáo gần đây, bao gồm Jester, BlackGuard, Mars Stealer, META, FFDroider và Lightning Stealer.
Theo The Hacker News