23.01.2024 | Trellix выявил хитроумный Java-инструмент для кражи данных через бота Discord |
ИБ-компания Trellix обнаружила новый сложный инструмент для кражи информации на основе Java, который использует бота Discord для кражи конфиденциальных данных со скомпрометированных хостов. Вредоносное ПО под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение. ZIP-файл содержит вредоносный файл ярлыка Windows («Loader GAYve»), действующий как канал для развертывания вредоносного JAR -файла, который сначала создает папку с именем «NS-<11-digit_random_number>» для хранения собранных данных.
Содержание архива В созданную папку вредоносная программа впоследствии сохраняет скриншоты, cookie-файлы, учетные данные и данные автозаполнения, украденные из более чем 20 веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram . Собранная информация затем передается на канал бота Discord.
Цепочка заражения Исследователи отметили, что сложная функция сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, позволяет вредоносному ПО быстро украсть информацию из систем-жертв с помощью среды выполнения Java. Бот-канал Discord в качестве EventListener для получения отфильтрованных данных также эффективен в рамках кампании. |
Проверить безопасность сайта