Команда исследователей угроз Uptycs недавно обнаружила кампанию с участием вредоносного ПО Titan Stealer, которое рекламируется и продается агентом угроз (TA) через канал Telegram в киберпреступных целях. Угонщик способен похищать различную информацию с зараженных Windows-машин, включая учетные данные из браузеров и криптокошельков, данные FTP-клиента, скриншоты, системную информацию и захваченные файлы.
Titan Stealer
Двоичный файл представляет собой 32-битный исполняемый файл, скомпилированный с помощью GCC. На рисунке 3 выше показана информация о различных разделах бинарного файла. Второй раздел под названием ".data" имеет больший необработанный размер по сравнению с другими разделами и содержит зашифрованные данные для Titan Stealer.
Когда двоичный файл выполняется, он расшифровывает XOR-кодированную полезную нагрузку в той же области памяти, которая представляет собой скомпилированный Golang двоичный файл. Затем двоичный файл (стадия 1) использует технику следования за процессом для внедрения в легитимный целевой процесс под названием "AppLaunch.exe".
Двоичный файл стадии 2 представляет собой 32-битный исполняемый файл, который после успешной инъекции запускается из области памяти процесса "AppLaunch.exe". Также указывается идентификатор сборки скомпилированного в Golang бинарного файла.
Вредоносная программа пытается прочитать все файлы в папке "User Data" различных браузеров с помощью API CreateFile, чтобы украсть такую информацию, как учетные данные, состояние автозаполнения, метрики браузера, данные crashpad, данные о запрете толпы, данные кэша, данные кэша кода, данные о состоянии расширений, данные кэша GPU, данные локального хранилища, данные уведомлений платформы, данные хранения сессий, данные базы данных характеристик сайта, данные хранения и данные синхронизации.
API FindFirstFileW - это функция в операционной системе Windows, которая позволяет программе искать файл в каталоге или подкаталоге. Она может использоваться для перечисления всех файлов в каталоге, включая скрытые файлы. Вредоносное ПО может использовать API FindFirstFileW для поиска определенных файлов или каталогов в системе, например, каталогов, в которых установлены браузеры.
Вредоносное ПО нацеливается на определенные каталоги браузеров в системе, чтобы определить и потенциально атаковать установленные браузеры.
- %USERPROFILE%\AppData\Local\Google\Chrome\
- %USERPROFILE%\AppData\Local\Chromium\
- %USERPROFILE%\AppData\Local\Yandex\YandexBrowser\
- %USERPROFILE%\AppData\Roaming\Opera Software\Opera Stable\
- %USERPROFILE%\AppData\Local\BraveSoftware
- %USERPROFILE%\AppData\Local\Vivaldi\
- %USERPROFILE%\AppData\Local\Microsoft\Edge\
- %USERPROFILE%\AppData\Local\7Star\7Star\
- %USERPROFILE%\AppData\Local\Iridium\
- %USERPROFILE%\AppData\Local\CentBrowser\
- %USERPROFILE%\AppData\Local\Kometa\
- %USERPROFILE%\AppData\Local\Elements Browser\
- %USERPROFILE%\AppData\Local\Epic Privacy Browser\
- %USERPROFILE%\AppData\Local\uCozMedia\Uran\
- %USERPROFILE%\AppData\Local\Coowon\Coowon\
- %USERPROFILE%\AppData\Local\liebao\
- %USERPROFILE%\AppData\Local\QIP Surf\
- %USERPROFILE%\AppData\Local\Orbitum\
- %USERPROFILE%\AppData\Local\Amigo\User\
- %USERPROFILE%\AppData\Local\Torch\
- %USERPROFILE%\AppData\Local\Comodo\
- %USERPROFILE%\AppData\Local\360Browser\Browser\
- %USERPROFILE%\AppData\Local\Maxthon3\
- %USERPROFILE%\AppData\Local\Nichrome\
- %USERPROFILE%\AppData\Local\CocCoc\Browser\
- %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\
Titan Stealer нацелен на следующие криптовалютные кошельки и собирает с них информацию, отправляя ее на сервер злоумышленника.
- Edge Wallet
- Coinomi
- Ethereum
- Zcash
- Armory
- bytecoin
Вредоносная программа собирает различные типы журналов с зараженной машины, включая информацию о браузере, такую как учетные данные, cookies и история, а также данные из криптовалютных кошельков и FTP-клиентов. Titan Stealer передает информацию на командно-контрольный сервер, используя форматы архивных файлов в кодировке base64.
- Telegram - Чтение данных из настольного приложения Telegram
- Filezilla - чтение данных FTP-клиентов
Indicators of Compromise
IPv4
77.73.133.88
URls
- http://77.73.133.88:5000
- http://77.73.133.88:5000/sendlog
MD5
- 01e2a830989de3a870e4a2dac876487a
- 1af2037acbabfe804a522a5c4dd5a4ce
- 1dbe3fd4743f62425378b840315da3b7
- 2815dee54a6b81eb32c95d42afae25d2
- 5e79869f7f8ba836896082645e7ea797
- 78601b24a38dd39749db81a3dcba52bd
- 7f46e8449ca0e20bfd2b288ee6f4e0d1
- 82040e02a2c16b12957659e1356a5e19
- a98e68c19c2bafe9e77d1c00f9aa7e2c
- b0604627aa5e471352c0c32865177f7a
- b10337ef60818440d1f4068625adfaa2
- e7f46144892fe5bdef99bdf819d1b9a6