Pesquisadores de segurança cibernética descobriram um novo "sofisticado" ladrão de informações baseado em Java que usa um bot do Discord para exfiltrar dados sensíveis de hospedeiros comprometidos.
O malware, chamado NS-STEALER, é propagado via arquivos ZIP disfarçados como software crackeado, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan, em uma análise publicada na semana passada.
O arquivo ZIP contém um arquivo de atalho ("Loader GAYve") do Windows, que atua como um condutor para implantar um arquivo JAR malicioso que primeiro cria uma pasta chamada "NS-<número_aleatório_de_11_dígitos>" para armazenar os dados colhidos.
Para esta pasta, o malware posteriormente salva capturas de tela, cookies, credenciais e dados de preenchimento automático roubados de mais de duas dúzias de navegadores web, informações do sistema, uma lista de programas instalados, tokens do Discord, dados de sessão do Steam e Telegram.
A informação capturada é então exfiltrada para um canal do Discord Bot.
"Considerando a função altamente sofisticada de coletar informações sensíveis e o uso de X509Certificate para suportar autenticação, este malware pode rapidamente roubar informações dos sistemas da vítima com [Java Runtime Environment]", disse Ramanathan.
"O canal do bot do Discord como EventListener para receber dados exfiltrados também é custo-efetivo." O desenvolvimento surge à medida que os atores de ameaças por trás do malware Chaes (também conhecido como Chae$) lançaram uma atualização (versão 4.1) para o ladrão de informações com melhorias em seu módulo Chronod, responsável por roubar credenciais de login inseridas em navegadores web e interceptar transações de criptomoedas.
Cadeias de infecção que distribuem o malware, de acordo com Morphisec, aproveitam iscas de e-mail com temática legal escritas em português para enganar os destinatários a clicar em links falsos para implantar um instalador malicioso para ativar o Chae$ 4.1.
Mas, em uma reviravolta interessante, os desenvolvedores também deixaram mensagens para o pesquisador de segurança Arnold Osipov - que analisou extensivamente o Chaes no passado - expressando gratidão por ajudá-los a melhorar seu "software" diretamente no código-fonte.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...