NS-STEALER, Popüler Tarayıcılardan Sırlarınızı Sızdırmak için Discord Botlarını Kullanıyor

Siber güvenlik araştırmacıları, güvenliği ihlal edilmiş ana bilgisayarlardan hassas verileri sızdırmak için bir Discord botu kullanan Java tabanlı yeni bir "sofistike" bilgi hırsızı keşfetti.

NS-STEALER adlı kötü amaçlı yazılım, kırık yazılım gibi görünen ZIP arşivleri aracılığıyla yayılıyor, Trellix güvenlik araştırmacısı Gurumoorthi Ramanathan geçen hafta yayınlanan bir analizde söyledi.

ZIP dosyası, içinde, toplanan verileri depolamak için önce "NS-<11-digit_random_number>" adlı bir klasör oluşturan kötü amaçlı bir JAR dosyasını dağıtmak için bir kanal görevi gören sahte bir Windows kısayol dosyası ("Loader GAYve") içerir.

Kötü amaçlı yazılım daha sonra iki düzineden fazla web tarayıcısından çalınan ekran görüntülerini, çerezleri, kimlik bilgilerini ve otomatik doldurma verilerini, sistem bilgilerini, yüklü programların bir listesini, Discord jetonlarını, Steam ve Telegram oturum verilerini bu klasöre kaydeder. Yakalanan bilgiler daha sonra bir Discord Bot kanalına aktarılır.

Ramanathan, "Hassas bilgileri toplamanın ve kimlik doğrulamayı desteklemek için X509Certificate kullanmanın son derece karmaşık işlevi göz önüne alındığında, bu kötü amaçlı yazılım [Java Runtime Environment] ile kurban sistemlerinden hızla bilgi çalabilir" dedi.

"Sızdırılan verileri almak için bir EventListener olarak Discord bot kanalı da uygun maliyetlidir."

Gelişme, Chaes (diğer adıyla Chae$) kötü amaçlı yazılımının arkasındaki tehdit aktörlerinin, web tarayıcılarına girilen oturum açma kimlik bilgilerini çalmaktan ve kripto işlemlerini engellemekten sorumlu olan Chronod modülünde iyileştirmeler içeren bilgi hırsızına bir güncelleme (sürüm 4.1) yayınlamasıyla geldi.

Morphisec'e göre kötü amaçlı yazılımı dağıtan enfeksiyon zincirleri, alıcıları 4.1 Chae$'ı etkinleştirmek için kötü amaçlı bir yükleyici dağıtmak üzere sahte bağlantılara tıklamaları için kandırmak için Portekizce yazılmış yasal temalı e-posta tuzaklarından yararlanır.

Ancak ilginç bir şekilde, geliştiriciler, geçmişte Chaes'i kapsamlı bir şekilde analiz eden güvenlik araştırmacısı Arnold Osipov'a doğrudan kaynak kodu içinde "yazılımlarını" geliştirmelerine yardımcı oldukları için minnettarlıklarını ifade eden mesajlar da bıraktılar.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.