Новое вредоносное ПО Stealc с широким набором возможностей для кражи

В даркнете появился новый похититель информации под названием Stealc, который набирает обороты благодаря агрессивному продвижению возможностей кражи и сходства с такими же вредоносными программами, как:

• Vidar,
• Raccoon,
• Mars,
• Redline.

Одна из общих черт, которую исследователи обнаружили между Stealc и Vidar, Raccoon и Mars, заключается в том, что все они загружают законные сторонние библиотеки DLL (например, sqlite3.dll, nss3.dll), чтобы помочь в краже конфиденциальных данных.

Исследователи безопасности из компании SEKOIA, занимающейся разведкой киберугроз, обнаружили новый штамм в январе, который начал набирать обороты в начале февраля.

Stealc рекламировался на хакерских форумах пользователем под ником «Plymouth», который представил вредоносное ПО с широкими возможностями кражи данных и с простой панелью администрирования. Stealc также имеет настраиваемый захват файлов, который можно настроить для любых типов файлов, которые оператор хочет украсть.

Продавец также создал канал Telegram, посвященный публикации журналов изменений новой версии Stealc, последней из которых является версия 1.3.0, выпущенная 11 февраля 2023 года. Вредоносная программа активно развивается, и каждую неделю на канале появляется новая версия.

После первоначального сообщения Plymouth начал продвигать вредоносное ПО на других хакерских форумах и в частных каналах Telegram, предлагая потенциальным клиентам тестовые образцы.

Исследователи обнаружили более 40 серверов C2 для Stealc и несколько десятков образцов в дикой природе. Такая популярность вредоносного ПО среди злоумышленников может быть связана с тем, что клиенты, имеющие доступ к панели администрирования, могут генерировать новые сэмплы стиллеров, что повышает шансы на утечку вредоносного ПО более широкой аудитории.

Несмотря на плохую бизнес-модель, SEKOIA считает, что Stealc представляет собой серьезную угрозу, поскольку его могут использовать менее технические киберпреступники.