Исследователи из CYFIRMA обнаружили на GitHub новую вредоносную программу для кражи информации, получившую название «Bizfum Stealer».
Bizfum Stealer
Это продвинутое вредоносное ПО предназначено для сбора учетных данных браузера, файлов cookie, сохраненных паролей, токенов Discord, содержимого буфера обмена и конфиденциальных файлов с зараженных систем. Он работает скрытно, сжимая и шифруя украденные данные с помощью RSA-шифрования, а затем отправляя их на удаленный сервер GoFile. Затем ссылка на скачивание украденных данных отправляется контролируемому злоумышленником Telegram-боту.
Написанная преимущественно на языке C, вредоносная программа эффективно взаимодействует с системными компонентами Windows, что позволяет ей выполнять такие задачи, как манипуляции с файлами, сбор учетных данных и обход обнаружения. Bizfum атакует популярные браузеры Chrome, Edge, Firefox и Brave для извлечения конфиденциальной информации, а также перехватывает скриншоты рабочего стола и текст из буфера обмена. Собранные файлы он сохраняет во временных каталогах для последующего шифрования и передачи. Вредоносная программа использует сложные методы, в том числе анонимные файлообменные платформы, такие как GoFile, чтобы избежать обнаружения и скрыть связь со злоумышленниками.
Indicators of Compromise
SHA256
- ce08c38979f668890c545730aab7269f742011013aac624112efd7dac9514bf6
