В первые недели июня 2023 г. появление WISE REMOTE Stealer вызвало значительный интерес на известных андеграундных форумах благодаря своим привлекательным характеристикам, возможностям и конкурентоспособной цене.
WISE REMOTE Stealer
Для того чтобы завоевать доверие, крадущий инструмент прошел этап тестирования с участием известных ветеранов форума, которые подтвердили его эффективность и предоставили ценные отзывы для последующей доработки, что является обычной практикой при внедрении новых инструментов в подпольное сообщество. Демонстрация инструмента показала, что угрожающий агент уже скомпрометировал более 1000 систем по всему миру, что говорит об его эффективности и его способности поразить значительное количество систем в ближайшие дни.
- Демонстрация работы этого инструмента показала, что только от его действий пострадало более 1 000 систем по всему миру, что говорит о его эффективности и способности в ближайшие дни добавить большое количество жертв.
- Подписка на The Stealer предлагается по цене 40 долл. в месяц, а пожизненная подписка стоит 150 долл. Новые функции будут доступны только пожизненным подписчикам. Платежи за покупку принимаются только в криптовалютах и с использованием HF-контрактов.
- Этот продвинутый стейлер поддерживает проведение операций распределенного отказа в обслуживании (DDoS), Ransomware-атак и других вредоносных действий.
- Вредоносная программа WISE REMOTE Stealer написана на языке Go, при этом угрожающий субъект предпочитает кодировать свои вредоносные программы с использованием Go, C++, C# и Python.
- Вредоносная программа использует методы манипулирования кодом для обхода обнаружения большинством антивирусных продуктов, что затрудняет ее обнаружение и борьбу с ней.
- Основной целью вредоносной программы являются операционные системы Windows, в частности версии 8, 10 и 11.
- Соединение между командно-контрольным (C2) сервером вредоносной программы и зараженными клиентами шифруется по протоколу TCP, что обеспечивает безопасность связи.
- Импорт клиентских модулей осуществляется через облачный сервер, а журналы временно хранятся во временной папке диска. Затем журналы отправляются на панель C2 для расшифровки и последующего удаления, чтобы не оставлять следов.
- Минимальные требования к серверу для размещения панели WISE Remote Stealer C2 включают процессор с 2+ ядрами, не менее 3 ГБ оперативной памяти и сервер Windows Server с включенным протоколом удаленного рабочего стола (RDP).
- Панель WISE Remote Stealer C2 имеет удобный и наглядный графический интерфейс, позволяющий контролировать до 10 000 жертв с высокой производительностью. Эта панель получила положительные отзывы ветеранов андеграундного форума благодаря своей простоте и заранее настроенным опциям сборки, облегчающим создание вредоносных программ.
- Инструмент сборки, связанный с этой вредоносной программой, упрощает создание .exe-файлов, позволяя настраивать иконки для удобства распространения, исходя из желаемой цепочки заражения. Полученные сборки имеют небольшой размер, обычно не превышающий 100 КБ.
- Подобно троянцам удаленного доступа (RAT), сборка предоставляет возможность загрузки и выполнения полезной нагрузки путем указания URL-адреса источника. Эта возможность открывает путь к запуску дальнейших этапов атаки, включая развертывание программ-вымогателей.
- Через C2-панель угрожающий агент может рассылать всем зараженным жертвам shell-команды. С помощью специальных команд скомпрометированные системы могут быть превращены в ботов, что, возможно, позволит им проводить операции по распределенному отказу в обслуживании (DDoS) или другие вредоносные действия.
Indicators of Compromise
IPv4
- 193.32.127.137