El nuevo malware Masad Stealer extrae criptomonedas a través de Telegram

Una nueva variedad de malware distribuida activamente llamada Masad Stealer roba archivos, información del navegador y datos de billetera de criptomonedas de computadoras infectadas que se envían a sus maestros usando Telegram como canal de comunicación.

El equipo de Juniper Threat Labs que lo descubrió descubrió que el malware está relacionado de alguna manera con el Qulab Stealer (ya sea como versión mejorada o como predecesor directo), y que se desarrolla utilizando scripts de Autoit y luego compilado como un ejecutable de Windows.

El malware se anuncia activamente en foros de piratería como un ladrón y un cortador, y se vende utilizando un enfoque basado en niveles, comenzando con una versión gratuita y pasando a una variante 'con todas las funciones' que viene con un precio de $ 85.


Anuncio de Masad Stealer

Cadena de infección y distribución de Masad Stealer

"Los principales vectores de distribución de Masad Stealer se hacen pasar por una herramienta legítima o se agrupan en herramientas de terceros", encontró Juniper. "Los actores de amenazas logran descargas de usuarios finales mediante publicidad en foros, en sitios de descarga de terceros o en sitios para compartir archivos".

Las víctimas también pueden infectarse cuando instalan varios software y juegos de cracks, trampas y aimbots, lo que demuestra que a los actores detrás de este malware no les importa adoptar vectores de infección muy conocidos que han demostrado ser altamente efectivos.

Una vez que logra infectar una máquina, Masad Stealer comienza a recopilar una amplia gama de datos de sus víctimas, que incluyen, entre otros, información del sistema, capturas de pantalla, archivos de texto de escritorio, sesiones de Steam Desktop Authenticator, cookies del navegador, nombres de usuario, contraseñas y tarjetas de crédito. información.


Información robada

El malware también viene con la capacidad de reemplazar automáticamente las billeteras de criptomonedas Monero, Bitcoin Cash, Litecoin, Neo y Web Money del portapapeles con las provistas por sus operadores.

"Si los datos del portapapeles coinciden con uno de los patrones codificados en Masad Stealer, el malware reemplaza los datos del portapapeles con una de las carteras de los actores de amenazas, que también se encuentran en su binario", encontró Juniper.

El malware también creará una tarea programada en todos los dispositivos Windows que logre comprometer que le permitirá reiniciarse cada minuto si las víctimas descubren y eliminan su proceso.

Usado en campañas activas

Toda la información recolectada se comprime usando un ejecutable 7zip incluido dentro del binario de Masad Stealer, y el archivo se extrae al servidor de comando y control (C2) usando identificaciones únicas de bot de Telegram.

Según el número de identificaciones de bot y nombres de usuario únicos de Telegram, el equipo de Juniper Threat Labs descubrió que hay al menos 18 actores o campañas de amenazas que atacan activamente a las posibles víctimas con el ladrón de Masad.

De todas las muestras de Masad Stealer detectadas hasta ahora, algunas de ellas también pueden eliminar otras cepas de malware en forma de ejecutables con encabezados modificados, incluidos los criptomineros y otros ladrones de información como descubrió Juniper.


Descarte malware adicional a través de la secuencia TLS

"Juniper Threat Labs cree que Masad Stealer representa una amenaza activa y continua. Los bots de comando y control siguen vivos y responden a partir de este escrito, y el malware parece estar disponible para su compra en el mercado negro", concluye Juniper.

Una lista de indicadores de compromiso (IOC) con hashes de muestra de malware y dominios utilizados para distribuir malware adicional están disponibles al final del informe Masad Stealer de  Juniper .


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta