Новый зловред похищает данные и криптовалюту, используя Telegram

Исследователи компании Juniper Threat Labs обнаружили новое вредоносное ПО, получившее название Masad Stealer. Зловред активно рекламируется на нескольких хакерских форумах. Его базовую версию при большом желании можно отыскать и бесплатно, полнофункциональная же версия предлагается по цене примерно в 85 долларов. Masad Stealer скомпилирован как исполняемый файл Windows и распространяется под видом легитимного ПО либо встраивается в загрузки других программных инструментов, прежде всего – разного рода ботов и взломанных версий игр.

Инфицируя систему, Masad Stealer похищает данные, включая документы с рабочего стола и сохраненную в браузерах информацию (такую как логины, пароли и сохраненные номера банковских карт). Помимо этого зловред подменяет данные криптовалютных кошельков в буфере обмена данными кошельков, принадлежащих организаторам атаки. Таким образом, совершая транзакции, ставший жертвой пользователь переводит средства не тем, кому он намеревался их перевести, а хакерам. Также Masad Stealer добавляет себя в расписание задач Windows и автоматически перезапускается каждую минуту в случае, если пользователь обнаруживает вредоносную активность и пытается заблокировать все процессы, связанные со зловредом.

Эксперты отмечают, что Masad Stealer имеет много общего с уже известным вредоносным ПО Qulab Stealer и, по всей видимости, является либо его усовершенствованной версией, либо «прямым наследником». Однако примечательная особенность нового зловреда состоит в том, что для связи с командными серверами он использует мессенджер Telegram. Его шифрование служит в данном случае надежной защитой для передаваемых похищенных данных и получаемых от злоумышленников команд. Исследователи выявили уже не менее 18 вредоносных кампаний, использующих Masad Stealer.


Источник:  Bleepingcomputer

Возврат к списку