NS-STEALER utiliza Discord Bots para filtrar datos

Iniciado por AXCESS, Enero 22, 2024, 11:44:33 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 22, 2024, 11:44:33 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de ciberseguridad han descubierto un nuevo ladrón de información "sofisticado" basado en Java que utiliza un bot de Discord para filtrar datos confidenciales de hosts comprometidos.

El malware, llamado NS-STEALER, se propaga a través de archivos ZIP disfrazados de software descifrado, dijo el investigador de seguridad de Trellix, Gurumoorthi Ramanathan, en un análisis publicado la semana pasada.

El archivo ZIP contiene un archivo de acceso directo de Windows fraudulento ("Loader GAYve"), que actúa como un conducto para implementar un archivo JAR malicioso que primero crea una carpeta llamada "NS-<11-digit_random_number>" para almacenar los datos recopilados.

En esta carpeta, el malware guarda posteriormente capturas de pantalla, cookies, credenciales y datos de autocompletar robados de más de dos docenas de navegadores web, información del sistema, una lista de programas instalados, tokens de Discord, datos de sesión de Steam y Telegram. La información capturada luego se extrae a un canal de Discord Bot.

"Teniendo en cuenta la función altamente sofisticada de recopilar información confidencial y utilizar X509Certificate para respaldar la autenticación, este malware puede robar rápidamente información de los sistemas víctimas con [Java Runtime Environment]", dijo Ramanathan.

"El canal de bot de Discord como EventListener para recibir datos extraídos también es rentable".

El desarrollo se produce cuando los actores de amenazas detrás del malware Chaes (también conocido como Chae$) lanzaron una actualización (versión 4.1) para el ladrón de información con mejoras en su módulo Chronod, que es responsable de robar las credenciales de inicio de sesión ingresadas en los navegadores web e interceptar transacciones criptográficas.

Las cadenas de infección que distribuyen el malware, según Morphisec, aprovechan señuelos de correo electrónico con temas legales escritos en portugués para engañar a los destinatarios y hacer que hagan clic en enlaces falsos para implementar un instalador malicioso que active Chae$ 4.1.

Pero en un giro interesante, los desarrolladores también dejaron mensajes para el investigador de seguridad Arnold Osipov, quien analizó extensamente Chaes en el pasado, expresando su gratitud por ayudarlos a mejorar su "software" directamente dentro del código fuente.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario