Вредоносное ПО атакует варианты браузеров, криптокошельки и менеджеры паролей

Новое вредоносное ПО получило название Похититель медуз Согласно отчету компании Uptycs, занимающейся кибербезопасностью, могут украсть информацию из большого количества браузеров, менеджеров паролей и криптовалютных кошельков. Вредоносное ПО было разработано для операционных систем Windows.

Исследование Uptycs показывает, что «на сегодняшний день не было зарегистрировано никаких конкретных атак», вероятно, потому, что Meduza Stealer — это новое вредоносное ПО. Есть большие подозрения, что Meduza Stealer распространяется через обычные методы, используемые для похитителей информациитакие как скомпрометированные веб-сайты, распространяющие вредоносное ПО и фишинговые электронные письма.

Узнайте, что происходит при запуске Medusa Stealer, как вредоносное ПО продвигается среди киберпреступников, а также советы по защите вашей компании от этой угрозы кибербезопасности.

Перейти к:

Что происходит при запуске Meduza Stealer?

После запуска Meduza Stealer вредоносная программа начинает проверку своей геолокации с помощью функции Windows GetUserGeoID. Эта функция ищет значение страны на основе настроек системы, а не реальной информации о геолокации. Вредонос перестает работать, если в результате указана одна из этих 10 стран: Россия, Казахстан, Беларусь, Грузия, Туркменистан, Узбекистан, Армения, Киргизия, Молдова и Таджикистан.

Следующий шаг для вредоносной программы состоит в проверке того, может ли она добраться до сервера злоумышленника, прежде чем начать сбор базовой информации о зараженной системе, такой как имя компьютера, сведения о процессоре/графическом процессоре/ОЗУ/оборудовании, точные сведения о версии операционной системы, часовой пояс. и текущее время, имя пользователя, общедоступный IP-адрес, путь выполнения и разрешение экрана. Meduza Stealer тоже делает скриншот. Затем вредоносное ПО готово к операциям кражи (Рисунок А).

Рисунок А

Массивные возможности кражи Meduza Stealer

Браузеры

Meduza Stealer ищет данные в папке User Data; он ищет информацию, связанную с браузером, такую ​​как история браузера, его файлы cookie, логин и веб-данные. В вредоносное ПО встроен список из 97 вариантов браузеров, что свидетельствует об огромных усилиях, направленных на то, чтобы не пропустить данные из браузеров (Рисунок Б). Chrome, Firefox и Microsoft Edge — это всего лишь три браузера в списке.

Рисунок Б

Менеджеры паролей

Meduza Stealer преследует 19 менеджеров паролей на основе их Extension ID (Рисунок С). LastPass, 1Password и Authy — это только три из перечисленных менеджеров паролей.

Рисунок С

Вредоносная программа специально нацелена на расширения, связанные с двухфакторной аутентификацией и менеджерами паролей, с целью извлечения данных; эти расширения содержат важную информацию и могут содержать уязвимости. Получив доступ к кодам 2FA или используя уязвимости в расширениях менеджера паролей, злоумышленник может обойти протоколы безопасности и получить несанкционированный доступ к учетным записям пользователей.

Криптовалютные кошельки

На данный момент целью Meduza Stealer является 76 криптовалютных кошельков.

Из исследования угроз Uptycs: «Вредоносная программа пытается извлечь расширения криптовалютного кошелька из веб-браузеров с помощью программных плагинов или надстроек, которые позволяют пользователям удобно управлять своими криптовалютными активами непосредственно в веб-браузерах, таких как Chrome или Firefox. Эти расширения предоставляют функциональные возможности для таких задач, как мониторинг остатков на счетах, проведение операций с криптовалютой».

Вредоносная программа получает конфигурацию и связанные с ней данные из разных разделов реестра Windows:

• HKCUПРОГРАММНОЕ ОБЕСПЕЧЕНИЕEtherdyneEtherwallgeth
• HKCUПРОГРАММНОЕ ОБЕСПЕЧЕНИЕмонеро-проектмонеро-ядро
• HKCUПРОГРАММНОЕ ОБЕСПЕЧЕНИЕDogecoinCoreDogecoinCore-Qt
• HKCUПРОГРАММНОЕ ОБЕСПЕЧЕНИЕBitcoinCoreBitcoinCore-Qt
• HKCUПРОГРАММНОЕ ОБЕСПЕЧЕНИЕLitecoinCoreLitecoinCore-Qt
• HKCUПРОГРАММНОЕ ОБЕСПЕЧЕНИЕDashCoreDashCore-Qt

Таргетинг на другие приложения

Приложение Telegram Desktop сканируется вредоносной программой, которая ищет записи в реестре Windows, относящиеся к этому приложению.

Вредоносная программа также ищет данные приложений игровой системы Steam, которые могут храниться в реестре Windows. Если на компьютере установлен Steam, данные, которые можно извлечь из него, включают данные для входа в систему, информацию о сеансе, пользовательские настройки и другие данные конфигурации.

Discord — еще одно приложение, на которое нацелено вредоносное ПО, которое получает доступ к папке Discord и собирает информацию, такую ​​как конфигурация и пользовательские данные.

Как Meduza Stealer продвигают среди киберпреступников

По словам исследователей Uptycs, администратор Meduza Stealer использует «сложные маркетинговые стратегии» для продвижения вредоносного ПО на нескольких киберпреступных площадках и форумах.

Во-первых, актер, не колеблясь, предоставляет снимки экрана с большой частью результатов обнаружения антивирусного программного обеспечения, показывая, что только одно антивирусное решение (ESET) из 26 обнаруживает его, будь то статически или динамически.

Для привлечения большего количества клиентов доступ к украденным данным предлагается через веб-панель (Рисунок D). Потенциальному покупателю демонстрируются различные варианты подписки: один месяц за 199 долларов США, три месяца за 399 долларов США или пожизненный план.

Рисунок D

После того, как пользователь подписался, он получает полный доступ к веб-панели Meduza Stealer, которая предоставляет такую ​​информацию, как IP-адреса, имена компьютеров, название страны, количество сохраненных паролей, кошельки и файлы cookie на зараженных компьютерах. Затем абонент может загрузить или удалить украденные данные прямо из веб-панели. Эта беспрецедентная функция очень полезна, потому что удаление данных гарантирует, что ни один другой подписчик не сможет использовать эту информацию, потому что она немедленно удаляется.

Как защититься от этой угрозы кибербезопасности

Настоятельно рекомендуется обновить все операционные системы и программное обеспечение до последней версии. исправлен чтобы не быть скомпрометированным общей уязвимостью. Браузеры, в частности, должны быть обновлены; Кроме того, запускайте как можно меньше плагинов, чтобы уменьшить поверхность атаки.

Также рекомендуется по возможности развертывать многофакторную аутентификацию, чтобы злоумышленник не мог получить доступ к корпоративным ресурсам, даже если у него есть действительные учетные данные.

Решения безопасности должны быть развернуты на конечных точках и серверах с возможностями мониторинга для обнаружения угроз. Также рекомендуется запустить Правила обнаружения YARA на корпоративных конечных точках, например той, которую предоставляет Uptycs для обнаружения Meduza Stealer.

Раскрытие: Я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.