Компания CYFIRMA выпустила отчет, в котором проанализировала ситуацию с похитителями информации, уделив особое внимание Divulge, DedSec и Duck.
Описание
Эти похитители, распространяемые в основном через такие платформы, как GitHub, Discord и Telegram, часто создаются на основе открытого кода и модифицируются для получения конфиденциальных данных, таких как учетные данные браузера и криптовалютные кошельки. Divulge, активно рекламируемый на подпольных форумах, является преемником Umbral Stealer, с функциями анти-VM и возможностью кражи данных из браузера. DedSec, копия Doenerium, использует тактику анти-VM и избегает обнаружения, добавляя себя в список исключений Windows Defender.
Duck Stealer, имеющий много общего с AZStealer, предназначен для сбора данных браузера, кражи криптовалюты и захвата токенов Discord. Все три крадуна используют различные техники уклонения, чтобы обойти обнаружение, и имеют встроенные функции антианализа.
CYFIRMA отмечает, что эти инструменты часто продвигаются через каналы Telegram или Discord и что разработчики сохраняют доступ к любым данным, собранным пользователями, использующими эти крадуны. Многие из них рекламируются как «бесплатные», но несут в себе скрытый риск двойного заражения. В целом отчет подчеркивает растущую угрозу кражи информации, особенно тех, которые нацелены на данные браузера и Discord, и активно продвигаются через различные онлайн-сообщества.
Indicators of Compromise
SHA256
- 051829813ea3c66e37f184bbfaa2fa3d8752abbfa4828fa5847f1986ae461e3c
- 5dd0d74ce7e044c93ae79a7d5a66e1a1cd2a8c838c89e19f67279ab91dc19bd9
- a2b284d185326ef5a6031fd2278302a715181989230b54f9e4e4d79545a0dde7
