Chihuahua Stealer: Новая разновидность похитителей информации

Пользователь Reddit обратил внимание на этот софт 9 апреля, когда обнаружил обфусцированный сценарий PowerShell, обманом запущенный через документ Google Drive, что привело к выполнению многоступенчатой полезной нагрузки. Сообщение на Reddit предупреждает о подобных мошеннических действиях и просит помощи по расшифровке команды PowerShell. Сценарий включает этапы начиная с доставки до утечки данных, использованные для кражи информации о браузере и криптовалютных кошельках.

Компоненты трехэтапной атаки включают обфусцированный сценарий PowerShell из Google Drive, полезную нагрузку на .NET для сбора данных, и шифрование данных с использованием AES-GCM через Windows API. Атака начинается с обмана пользователей запустить сценарий PowerShell, а затем динамически обновляет полезные нагрузки для кражи данных. Дешифрованный скрипт запускает запланированное задание для выполнения нескольких действий, включая запросы к удаленным серверам и загрузку дополнительных нагрузок.

Содержание команды PowerShell выполнено через Base64 и шестнадцатеричные строки, способствуя скрытности и обходу обнаружения. Дополнительные полезные нагрузки из резервных доменов перемещаются для расширения функциональности атаки. Загруженные скрипты стирают все следы, обеспечивая скрытность операций. Таким образом, Chihuahua Stealer представляет угрозу безопасности, используя продвинутые методы для сбора и кражи конфиденциальных данных у пользователей.

URLs

• https://cat-watches-site.xyz/
• https://cdn.findfakesnake.xyz/
• https://flowers.hold-me-finger.xyz/index2.php
• https://onedrive.office-note.com/res?a=c&b=&c=8f2669e5-01c0-4539-8d87-110513256828&s=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiI4YTJlNmI1MDQ4M2E5MWYyODkzNTQ4Y2M1MDUwMdg1NyIsInN1YiI6IjEzN2JkZG0zYjZhOTYiQ.vXOOM_cWpG2OmzSx5t2l9A6ecnMKFzunS4LWccgfPjA

SHA256

• afa819c9427731d716d4516f2943555f24ef13207f75134986ae0b67a0471b84
• c9bc4fdc899e4d82da9dd1f7a08b57ac62fc104f93f2597615b626725e12cae8