Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
Feb 21, 2023 Dario Orlandi Malware, Minacce, Minacce, News, RSS, Trojan 0
Un nuovo report dei ricercatori di sicurezza di Sekoia ha segnalato la crescente popolarità di un nuovo infostealer, chiamato Stealc, che è stato molto pubblicizzato sul dark web nelle ultime settimane.
I ricercatori di Sekoia hanno individuato il nuovo ceppo a gennaio e hanno iniziato a individuarlo all’opera in the wild all’inizio di febbraio.
Stealc è un malware promosso su forum e canali dedicati da un utente chiamato Plymouth. Plymouth ha presentato Stealc come un malware con ampie capacità di furto di dati e un pannello di amministrazione facile da usare.
Oltre al targeting dei dati del browser, delle estensioni e dei portafogli di criptovaluta, Stealc ha un grabber di file personalizzabile per rubare qualsiasi tipo di file desiderato. Plymouth ha promosso il malware su vari forum e canali privati di Telegram, offrendo campioni di prova ai potenziali clienti.
Fonte: Sekoia
Stealc viene sviluppato attivamente e Plymouth ha creato un canale Telegram dedicato ai changelog della nuova versione. Plymouth ha anche affermato che Stealc si basa sui progetti Vidar, Raccoon, Mars e Redline.
I ricercatori hanno scoperto più di 40 server C2 per Stealc e diverse decine di campioni utilizzati attivamente, indicando che il nuovo malware ha attirato l’interesse dei criminali informatici.
Questa popolarità può essere spiegata con il fatto che i clienti con accesso al pannello di amministrazione possono generare nuovi sample, aumentando le possibilità che il malware raggiunga un pubblico più ampio.
Anche se questo non è un buon modello di business, i ricercatori ritengono che Stealc rappresenti una minaccia non trascurabile, poiché potrebbe essere adottato da criminali meno tecnici.
Stealc ha aggiunto nuove funzioni dalla sua prima versione di gennaio, tra cui una funzione per randomizzare gli URL C2, un migliore sistema di ricerca e ordinamento dei registri (file rubati) e un’esclusione per le vittime in Ucraina.
La timeline di Stealc (Fonte: Sekoia)
Sekoia ha analizzato un campione di Stealc e ha scoperto che il malware ha una build leggera di soli 80 Kbyte, utilizza Dll legittime di terze parti, è scritto in C e abusa delle funzioni Api di Windows. La maggior parte delle sue stringhe sono offuscate con RC4 e base64, e il malware esfiltra automaticamente i dati rubati.
Stealc supporta 22 browser Web, 75 plug-in e 25 wallet; una volta distribuito, esegue controlli anti-analisi per garantire che non venga eseguito in un ambiente virtuale o sandbox. Il malware raccoglie i dati dai browser, dalle estensioni e dalle app, esegue un grabber di file personalizzato e infine esfiltra tutto verso il server C2.
Alla fine delle operazioni, il malware rimuove sé stesso e i file Dll scaricati dall’host compromesso per cancellare le tracce dell’infezione.
I ricercatori hanno identificato un metodo di distribuzione di Stealc tramite video di YouTube che spiegano come installare software pirata, collegandosi a un sito di download. Il malware è integrato nell’installer del software e, una volta eseguito, inizia a svolgere le sue funzioni e comunicare con il server C2.
Sekoia ha condiviso indicatori di compromissione e regole Yara e Suricata per aiutare le aziende a difendersi. Si consiglia agli utenti di evitare l’installazione di software piratato e di scaricare solo dai siti ufficiali degli sviluppatori per ridurre il rischio di infezioni da malware.
Set 29, 2023 0
Set 27, 2023 0
Set 14, 2023 0
Set 13, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...