Быстрые изменения в StealC

Теперь программа может доставлять полезную нагрузку через пакеты MSI и PowerShell, а также содержит интегрированный конструктор для настройки правил доставки. Дополнительные функции включают захват экрана и перебор учетных данных.

Статья обновленного блога описывает улучшения в StealC V2, включая шифрование, доставку, панель управления и протокол связи. Версия 2 поддерживает новые загрузчики, настраиваемую доставку и функцию захвата. Zscaler ThreatLabz отметила использование StealC V2 через Amadey и его использование для распространения.

StealC V2 использует сетевой протокол JSON с RC4-шифрованием, дополнительные возможности доставки, включая MSI и PowerShell, а также обновленную панель управления с улучшенной функциональностью. Технический анализ показал, что вредоносная программа обфусцирует строки и использует защиту кода Themida, а также улучшенные API-функции и процессы деобфускации.

StealC V2 тщательно проверяет параметры перед выполнением, учитывает специфические аспекты системы и декодирует строки конфигурации. Новая версия предлагает функции API в различных DLL и улучшает процедуры проверки, не запуская дублирующие экземпляры и работая на определенных языках. Новые функции позволяют выполнять кражу данных эффективно и без обнаружения противниками.

URLs

• http://45.93.20.28/3d15e67552d448ff.php
• http://45.93.20.64/c090b39aa5004512.php
• http://88.214.48.93/ea2cb15d61cc476f.php

SHA256

• 0b921636568ee3e1f8ce71ff9c931da5675089ba796b65a6b212440425d63c8c
• 27c77167584ce803317eab2eb5db5963e9dfa86450237195f5723185361510dc
• 87618787e1032bbf6a6ca8b3388ea3803be20a49e4afaba1df38a6116085062f
• a1b2aecdd1b37e0c7836f5c254398250363ea74013700d9a812c98269752f385
• dd36c7d50cb05761391a7f65932193ec847d34f8ba1bb2f2a43ecf4985d911f4
• e205646761f59f23d5c8a8483f8a03a313d3b435b302d3a37061840b5cc084c3