Исследователи из CYFIRMA обнаружили сложное вредоносное ПО, известное как BLX Stealer, также называемое XLABB Stealer, которое предназначено для кражи конфиденциальной информации, такой как учетные данные, данные браузера, криптовалютные кошельки и другие персональные данные.
BLX Stealer
BLX Stealer активно продвигается на таких платформах, как Telegram и Discord, предлагая как бесплатную, так и премиум-версию, последняя из которых включает в себя расширенные возможности, такие как полная необнаруживаемость (FUD). Устойчивость вредоносной программы достигается за счет того, что она помещает свою полезную нагрузку в папку запуска, что позволяет ей выполняться при каждой перезагрузке системы. Кроме того, вредонос использует такие приемы для обхода обнаружения, как скрытие окна PowerShell и использование легитимных утилит Microsoft в своих вредоносных целях. Во время выполнения BLX Stealer пытается узнать IP-адрес и геолокационные данные жертвы и выводит украденные данные через Discord Webhook. Вредоносная программа находится в стадии постоянной разработки, и ее авторы регулярно обновляют ее, чтобы обойти обнаружение антивирусами.
Indicators of Compromise
SHA256
- 32abb4c0a362618d783c2e6ee2efb4ffe59a2a1000dadc1a6c6da95146c52881
- 5b46be0364d317ccd66df41bea068962d3aae032ec0c8547613ae2301efa75d6
- 8c4daf5e4ced10c3b7fd7c17c7c75a158f08867aeb6bccab6da116affa424a89
- e74dac040ec85d4812b479647e11c3382ca22d6512541e8b42cf8f9fbc7b4af6