Исследователи Unit 42 выявили новую вредоносную программу Gremlin Stealer, написанную на C#, предназначенную для кражи данных. Программа активно рекламируется на Telegram с марта 2025 года.
Описание
Gremlin Stealer перехватывает информацию из браузеров, буфера обмена, и локального диска, включая данные о кредитных картах, куки, информацию о криптокошельках, FTP и VPN учетные данные.
Продвигая Gremlin Stealer через Telegram-канал CoderSharp, авторы вредоносной программы находятся в стадии активной разработки. Программа утверждается способной крадти информацию из разнообразного программного обеспечения. На веб-сайте Gremlin Stealer выложено 14 файлов с данными жертв. Сервер по адресу 207.244.199[.]46 используется для загрузки украденных данных, предоставляя настраиваемый портал.
Gremlin Stealer обладает функциональностью обхода защиты куки v20 в Chrome и кражи различных данных, включая данные куки, пароли, криптовалюты, данные буфера обмена, FTP и VPN учетные данные. Программа также способна крадти информацию о сессиях Telegram и Discord, а также совершать скриншоты. Технический анализ показал, что Gremlin Stealer активен с марта 2025 года. Авторы программы используют различные методы, такие как запись украденной информации в текстовый файл для последующей загрузки на сервер. Google сделала изменения в Chrome, чтобы предотвратить такие методы, используемые похитителями информации.