В январе 2023 года SEKOIA.IO в ходе нашего мониторинга Темной паутины обнаружила новый похититель информации, рекламируемый под названием Stealc его предполагаемым разработчиком под ником Plymouth. Угрожающий агент представляет Stealc как полнофункциональный и готовый к использованию крадун, при разработке которого использовались крадуны Vidar, Raccoon, Mars и Redline. Эта информация позволяет предположить, что данный новичок может стать серьезным конкурентом популярным распространенным семействам вредоносных программ, упомянутым выше.
Stealc Stealer
В начале февраля 2023 года SEKOIA.IO выявил новое семейство вредоносных программ при отслеживании инфраструктур, распространяющих похитителей информации. Командно-контрольные (C2) коммуникации соответствующих образцов имеют сходство с коммуникациями Vidar и Raccoon. Дальнейший анализ SEKOIA.IO позволил нам связать это новое семейство вредоносных программ со Stealc.
В результате расследования мы обнаружили несколько десятков образцов Stealc, распространяемых в дикой природе, и более 40 C2-серверов Stealc, что, безусловно, свидетельствует о широком распространении и популярности этого нового инфопохитителя среди киберпреступников, распространяющих похитителей.
По умолчанию целью Stealc являются конфиденциальные данные из наиболее используемых веб-браузеров, браузерных расширений для криптовалютных кошельков, настольных криптовалютных кошельков и информация из дополнительных приложений, включая почтовые клиенты и программы-мессенджеры. По сравнению с другими крадущими программами, проанализированными SEKOIA.IO, конфигурация сбора данных может быть настроена в соответствии с потребностями клиента.
В Stealc также реализован настраиваемый файловый граббер, позволяющий клиентам красть файлы, соответствующие их правилам граббера. Stealc также имеет возможности загрузчика, которые обычно ожидаются для похитителя информации, продаваемого как вредоносное ПО как услуга (MaaS).
Панель администрирования также является полнофункциональной и позволяет пользователям (т.е. субъектам угроз, распространяющим кражу):
- настраивать конфигурацию вредоносного ПО;
- разбирать, отображать, фильтровать, сортировать и анализировать украденные данные;
- загружать журналы (похищенные данные) с помощью нескольких опций.
По наблюдениям SEKOIA.IO, работа с логами является ключевой функцией для всех похитителей информации, выходящих на рынок MaaS. Угрожающие субъекты, скорее всего, будут продавать украденные данные на рынке журналов, поэтому им необходимо загружать их в персонализированном виде. Кроме того, им необходимо идентифицировать и извлекать ценные учетные данные и файлы из больших объемов собранных данных.
Indicators of Compromise
IPv4
- 146.70.161.51
- 162.0.238.10
- 167.235.62.105
- 179.43.162.2
- 179.43.162.89
- 179.43.162.94
- 185.130.46.214
- 185.143.223.136
- 185.242.87.149
- 185.247.184.7
- 185.5.248.95
- 194.4.51.160
- 194.87.31.146
- 195.74.86.37
- 23.88.116.117
- 37.120.238.190
- 37.220.87.65
- 45.136.49.247
- 45.136.50.69
- 45.136.51.61
- 45.144.29.176
- 45.87.153.50
- 5.75.138.201
- 65.109.131.183
- 65.109.3.34
- 77.246.156.93
- 77.91.124.7
- 84.246.85.80
- 85.239.54.29
- 91.215.85.188
- 91.228.225.46
- 94.131.99.185
- 94.142.138.11
- 94.142.138.48
- 95.216.112.83
- 95.217.143.99
Domains
- 666palm.com
- 777palm.com
- aa-cj.com
- fff-ttt.com
- moneylandry.com
URLs
- http://146.70.161.51/273d9c8034a95cb4.php
- http://146.70.161.51/58d66e64beb49702/freebl3.dll
- http://146.70.161.51/58d66e64beb49702/mozglue.dll
- http://146.70.161.51/58d66e64beb49702/msvcp140.dll
- http://146.70.161.51/58d66e64beb49702/nss3.dll
- http://146.70.161.51/58d66e64beb49702/softokn3.dll
- http://146.70.161.51/58d66e64beb49702/sqlite3.dll
- http://146.70.161.51/58d66e64beb49702/vcruntime140.dll
- http://162.0.238.10/752e382b4dcf5e3f.php
- http://162.0.238.10/dbe4ef521ee4cc21/freebl3.dll
- http://162.0.238.10/dbe4ef521ee4cc21/mozglue.dll
- http://162.0.238.10/dbe4ef521ee4cc21/msvcp140.dll
- http://162.0.238.10/dbe4ef521ee4cc21/nss3.dll
- http://162.0.238.10/dbe4ef521ee4cc21/softokn3.dll
- http://162.0.238.10/dbe4ef521ee4cc21/sqlite3.dll
- http://162.0.238.10/dbe4ef521ee4cc21/vcruntime140.dll
- http://176.124.192.200/bef7fb05c9ef6540.php
- http://179.43.162.2/3461133978273cb9/freebl3.dll
- http://179.43.162.2/3461133978273cb9/mozglue.dll
- http://179.43.162.2/3461133978273cb9/msvcp140.dll
- http://179.43.162.2/3461133978273cb9/nss3.dll
- http://179.43.162.2/3461133978273cb9/softokn3.dll
- http://179.43.162.2/3461133978273cb9/sqlite3.dll
- http://179.43.162.2/3461133978273cb9/vcruntime140.dll
- http://179.43.162.2/d8ab11e9f7bc9c13.php
- http://185.247.184.7/8c3498a763cc5e26.php
- http://185.247.184.7/b00dc1fe53045ca1/sqlite3.dll
- http://185.5.248.95/api.php
- http://185.5.248.95/c1377b94d43eacea.php
- http://185.5.248.95/libs/freebl3.dll
- http://185.5.248.95/libs/mozglue.dll
- http://185.5.248.95/libs/msvcp140.dll
- http://185.5.248.95/libs/nss3.dll
- http://185.5.248.95/libs/softokn3.dll
- http://185.5.248.95/libs/sqlite3.dll
- http://185.5.248.95/libs/vcruntime140.dll
- http://23.88.116.117/api.php
- http://23.88.116.117/libs/sqlite3.dll
- http://5.75.138.201/9026ac2a280e901d/softokn3.dll
- http://666palm.com/54fbf4b9ffe8c98d/freebl3.dll
- http://666palm.com/54fbf4b9ffe8c98d/mozglue.dll
- http://666palm.com/54fbf4b9ffe8c98d/msvcp140.dll
- http://666palm.com/54fbf4b9ffe8c98d/nss3.dll
- http://666palm.com/54fbf4b9ffe8c98d/softokn3.dll
- http://666palm.com/54fbf4b9ffe8c98d/sqlite3.dll
- http://666palm.com/54fbf4b9ffe8c98d/vcruntime140.dll
- http://666palm.com/bca98681abf8e1ab.php
- http://777palm.com/2ccaf544c0cf7de7/freebl3.dll
- http://777palm.com/2ccaf544c0cf7de7/mozglue.dll
- http://777palm.com/2ccaf544c0cf7de7/msvcp140.dll
- http://777palm.com/2ccaf544c0cf7de7/nss3.dll
- http://777palm.com/2ccaf544c0cf7de7/softokn3.dll
- http://777palm.com/2ccaf544c0cf7de7/sqlite3.dll
- http://777palm.com/2ccaf544c0cf7de7/vcruntime140.dll
- http://777palm.com/bef7fb05c9ef6540.php
- http://94.142.138.48/54982f23330528c2/freebl3.dll
- http://94.142.138.48/54982f23330528c2/mozglue.dll
- http://94.142.138.48/54982f23330528c2/msvcp140.dll
- http://94.142.138.48/54982f23330528c2/nss3.dll
- http://94.142.138.48/54982f23330528c2/softokn3.dll
- http://94.142.138.48/54982f23330528c2/sqlite3.dll
- http://94.142.138.48/54982f23330528c2/vcruntime140.dll
- http://94.142.138.48/f9f76ae4bb7811d9.php
- http://95.216.112.83/413a030d85acf448.php
- http://95.216.112.83/5840871afdb84f06/mozglue.dll
- http://95.216.112.83/5840871afdb84f06/sqlite3.dll
- http://aa-cj.com/1b8df000d02ce631/freebl3.dll
- http://aa-cj.com/1b8df000d02ce631/mozglue.dll
- http://aa-cj.com/1b8df000d02ce631/msvcp140.dll
- http://aa-cj.com/1b8df000d02ce631/nss3.dll
- http://aa-cj.com/1b8df000d02ce631/softokn3.dll
- http://aa-cj.com/1b8df000d02ce631/sqlite3.dll
- http://aa-cj.com/1b8df000d02ce631/vcruntime140.dll
- http://aa-cj.com/6842f013779f3d08.php
- http://fff-ttt.com/984dd96064cb23d7.php
- http://fff-ttt.com/a02fc2187db8cd88/freebl3.dll
- http://fff-ttt.com/a02fc2187db8cd88/mozglue.dll
- http://fff-ttt.com/a02fc2187db8cd88/msvcp140.dll
- http://fff-ttt.com/a02fc2187db8cd88/nss3.dll
- http://fff-ttt.com/a02fc2187db8cd88/softokn3.dll
- http://fff-ttt.com/a02fc2187db8cd88/sqlite3.dll
- http://fff-ttt.com/a02fc2187db8cd88/vcruntime140.dll
- http://moneylandry.com/2ccaf544c0cf7de7/freebl3.dll
- http://moneylandry.com/2ccaf544c0cf7de7/mozglue.dll
- http://moneylandry.com/2ccaf544c0cf7de7/msvcp140.dll
- http://moneylandry.com/2ccaf544c0cf7de7/nss3.dll
- http://moneylandry.com/2ccaf544c0cf7de7/softokn3.dll
- http://moneylandry.com/2ccaf544c0cf7de7/sqlite3.dll
- http://moneylandry.com/2ccaf544c0cf7de7/vcruntime140.dll
- http://moneylandry.com/bef7fb05c9ef6540.php
- https://185.247.184.7/8c3498a763cc5e26.php
SHA256
- 1e09d04c793205661d88d6993cb3e0ef5e5a37a8660f504c1d36b0d8562e63a2
- 77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d
- 87f18bd70353e44aa74d3c2fda27a2ae5dd6e7d238c3d875f6240283bc909ba6