В феврале 2023 года был обнаружен новый вредоносный программный код Kral, который представляет собой похитителя данных, связанного с печально известным загрузчиком Aurora.
Kral Stealer
Кража данных происходит с помощью загрузчика Kral, который проникает на устройство пользователя через вредоносную рекламу на сайте для взрослых. Загрузчик перенаправляет жертву на фишинговую страницу, где предлагается скачать файл. Загрузчик Kral был написан на C++ и Delphi, но сейчас используется только C++, что уменьшило размер полезной нагрузки. Обнаружено несколько сходств между загрузчиком и похитителем, включая использование одной функции для проверки целостности файлов и шифрования строк. Крадущий Kral особо заинтересован в криптовалютных кошельках и данных браузера. Он сохраняет украденные данные и информацию о системе в произвольной папке в папке C:\ProgramData\, а затем отправляет их на удаленный сервер через COM-интерфейс BITS. Крадущий код собирает данные только один раз, но может повторно красть их, если будет запущен снова.
Indicators of Compromise
MD5
- 02c168aebb26daafe43a0cccd85397b2
- 039bebb6ccc2c447c879eb71cd7a5ba8
- 0509cc53472b265f8c3fc57008e31dbe
SHA1
- 7c420b558e18e8eb49b2ed4d87a69626b575a01f
- a89533334e4aae099b0c602f74e43d61453ffb4a
- ce09168925fb9d66416d693b9770ca008e584aee
SHA256
- 47f05652c8671668fd5498ac177ef2859877398608a06d50976fb7df219050f1
- 717c48ba618eb7e2052df98307d505f83094c0d60aab077447db1ce7dba2c30b
- c633a57ca8949e113567251189c33c92694d09ac7ead49a3fbb23d0506213824