Titan Stealer IOCs

Spyware IOC

Команда исследователей угроз Uptycs недавно обнаружила кампанию с участием вредоносного ПО Titan Stealer, которое рекламируется и продается агентом угроз (TA) через канал Telegram в киберпреступных целях. Угонщик способен похищать различную информацию с зараженных Windows-машин, включая учетные данные из браузеров и криптокошельков, данные FTP-клиента, скриншоты, системную информацию и захваченные файлы.

Titan Stealer

Двоичный файл представляет собой 32-битный исполняемый файл, скомпилированный с помощью GCC. На рисунке 3 выше показана информация о различных разделах бинарного файла. Второй раздел под названием ".data" имеет больший необработанный размер по сравнению с другими разделами и содержит зашифрованные данные для Titan Stealer.

Когда двоичный файл выполняется, он расшифровывает XOR-кодированную полезную нагрузку в той же области памяти, которая представляет собой скомпилированный Golang двоичный файл. Затем двоичный файл (стадия 1) использует технику следования за процессом для внедрения в легитимный целевой процесс под названием "AppLaunch.exe".

Двоичный файл стадии 2 представляет собой 32-битный исполняемый файл, который после успешной инъекции запускается из области памяти процесса "AppLaunch.exe". Также указывается идентификатор сборки скомпилированного в Golang бинарного файла.

Вредоносная программа пытается прочитать все файлы в папке "User Data" различных браузеров с помощью API CreateFile, чтобы украсть такую информацию, как учетные данные, состояние автозаполнения, метрики браузера, данные crashpad, данные о запрете толпы, данные кэша, данные кэша кода, данные о состоянии расширений, данные кэша GPU, данные локального хранилища, данные уведомлений платформы, данные хранения сессий, данные базы данных характеристик сайта, данные хранения и данные синхронизации.

API FindFirstFileW - это функция в операционной системе Windows, которая позволяет программе искать файл в каталоге или подкаталоге. Она может использоваться для перечисления всех файлов в каталоге, включая скрытые файлы. Вредоносное ПО может использовать API FindFirstFileW для поиска определенных файлов или каталогов в системе, например, каталогов, в которых установлены браузеры.

Вредоносное ПО нацеливается на определенные каталоги браузеров в системе, чтобы определить и потенциально атаковать установленные браузеры.

  • %USERPROFILE%\AppData\Local\Google\Chrome\
  • %USERPROFILE%\AppData\Local\Chromium\
  • %USERPROFILE%\AppData\Local\Yandex\YandexBrowser\
  • %USERPROFILE%\AppData\Roaming\Opera Software\Opera Stable\
  • %USERPROFILE%\AppData\Local\BraveSoftware
  • %USERPROFILE%\AppData\Local\Vivaldi\
  • %USERPROFILE%\AppData\Local\Microsoft\Edge\
  • %USERPROFILE%\AppData\Local\7Star\7Star\
  • %USERPROFILE%\AppData\Local\Iridium\
  • %USERPROFILE%\AppData\Local\CentBrowser\
  • %USERPROFILE%\AppData\Local\Kometa\
  • %USERPROFILE%\AppData\Local\Elements Browser\
  • %USERPROFILE%\AppData\Local\Epic Privacy Browser\
  • %USERPROFILE%\AppData\Local\uCozMedia\Uran\
  • %USERPROFILE%\AppData\Local\Coowon\Coowon\
  • %USERPROFILE%\AppData\Local\liebao\
  • %USERPROFILE%\AppData\Local\QIP Surf\
  • %USERPROFILE%\AppData\Local\Orbitum\
  • %USERPROFILE%\AppData\Local\Amigo\User\
  • %USERPROFILE%\AppData\Local\Torch\
  • %USERPROFILE%\AppData\Local\Comodo\
  • %USERPROFILE%\AppData\Local\360Browser\Browser\
  • %USERPROFILE%\AppData\Local\Maxthon3\
  • %USERPROFILE%\AppData\Local\Nichrome\
  • %USERPROFILE%\AppData\Local\CocCoc\Browser\
  • %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\

Titan Stealer нацелен на следующие криптовалютные кошельки и собирает с них информацию, отправляя ее на сервер злоумышленника.

  • Edge Wallet
  • Coinomi
  • Ethereum
  • Zcash
  • Armory
  • bytecoin

Вредоносная программа собирает различные типы журналов с зараженной машины, включая информацию о браузере, такую как учетные данные, cookies и история, а также данные из криптовалютных кошельков и FTP-клиентов. Titan Stealer передает информацию на командно-контрольный сервер, используя форматы архивных файлов в кодировке base64.

  • Telegram - Чтение данных из настольного приложения Telegram
  • Filezilla - чтение данных FTP-клиентов

Indicators of Compromise

IPv4

77.73.133.88

URls

  • http://77.73.133.88:5000
  • http://77.73.133.88:5000/sendlog

MD5

  • 01e2a830989de3a870e4a2dac876487a
  • 1af2037acbabfe804a522a5c4dd5a4ce
  • 1dbe3fd4743f62425378b840315da3b7
  • 2815dee54a6b81eb32c95d42afae25d2
  • 5e79869f7f8ba836896082645e7ea797
  • 78601b24a38dd39749db81a3dcba52bd
  • 7f46e8449ca0e20bfd2b288ee6f4e0d1
  • 82040e02a2c16b12957659e1356a5e19
  • a98e68c19c2bafe9e77d1c00f9aa7e2c
  • b0604627aa5e471352c0c32865177f7a
  • b10337ef60818440d1f4068625adfaa2
  • e7f46144892fe5bdef99bdf819d1b9a6
SEC-1275-1
Добавить комментарий