В 2025 году появился новый вредоносный инструмент Katz Stealer, работающий по модели Malware-as-a-Service (MaaS). Он сочетает агрессивные методы кражи учетных данных, снятие цифровых отпечатков системы и скрытые механизмы персистентности, а также использует загрузчики с функциями обхода защиты и исполнением кода в памяти. Распространяется через фишинговые кампании и поддельные загрузки ПО, а его архитектура ориентирована на максимальную скрытность, модульную доставку полезной нагрузки и быструю эксфильтрацию данных.
Описание
Katz Stealer способен извлекать сохраненные пароли, куки, токены сессий из браузеров на базе Chromium и Firefox, данные криптокошельков, учетные записи мессенджеров (Discord, Telegram), почтовые клиенты (Outlook, Foxmail), VPN- и FTP-данные, а также информацию из игровых аккаунтов (например, Steam). Малварь продается через веб-панель, позволяющую злоумышленникам генерировать кастомизированные сборки, настраивать методы обхода защиты и экспортировать украденные данные.
Цепочка заражения Katz Stealer включает несколько этапов. Начинается все с фишингового письма или поддельного ПО, содержащего JavaScript-дроппер с обфусцированным кодом. После запуска скрипт вызывает PowerShell для выполнения следующей стадии в памяти, избегая записи на диск. Затем .NET-загрузчик проверяет геолокацию и наличие песочницы, обходит UAC через уязвимость в cmstp.exe и внедряет основной модуль в процесс MSBuild.exe.
Один из ключевых методов кражи данных - внедрение в браузеры. Katz Stealer использует DLL-инъекции для доступа к паролям и кукам, обходя защиту Chromium (Application Bound Encryption) и извлекая мастер-ключи. Для Firefox малварь копирует файлы cookies.sqlite, logins.json и ключи шифрования.
Особенность Katz Stealer - встраивание бэкдора в Discord. Модифицируя файл app.asar, злоумышленники обеспечивают постоянный доступ к системе: при каждом запуске Discord загружает и исполняет вредоносный код с сервера.
Кроме того, малварь активно охотится за криптокошельками, сканируя файловую систему на наличие данных Exodus, Electrum, MetaMask и других. Собранная информация немедленно отправляется на C2-серверы, а следы деятельности удаляются.
Для защиты от Katz Stealer рекомендуется мониторить сетевую активность на предмет подозрительных User-Agent (например, содержащих "katz-ontop"), проверять процессы на наличие инъекций в MSBuild и Discord, а также блокировать известные IOC.
Индикаторы компрометации
IPv4
- 185.107.74.40
- 31.177.109.39
Domains
- katzstealer.com
- katz-stealer.com
- pub-ce02802067934e0eb072f69bf6427bf6.r2.dev
- twist2katz.com
SHA256
- 0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7
- 22af84327cb8ecafa44b51e9499238ca2798cec38c2076b702c60c72505329cb
- 2798bf4fd8e2bc591f656fa107bd871451574d543882ddec3020417964d2faa9
- 4f12c5dca2099492d0c0cd22edef841cbe8360af9be2d8e9b57c2f83d401c1a7
- 6dc8e99da68b703e86fa90a8794add87614f254f804a8d5d65927e0676107a9d
- e345d793477abbecc2c455c8c76a925c0dfe99ec4c65b7c353e8a8c8b14da2b6
- e4249cf9557799e8123e0b21b6a4be5ab8b67d56dc5bfad34a1d4e76f7fd2b19
- e73f6e1f6c28469e14a88a633aef1bc502d2dbb1d4d2dfcaaef7409b8ce6dc99
- fb2b9163e8edf104b603030cff2dc62fe23d8f158dd90ea483642fce2ceda027
User-Agent
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 katz-ontop