Группа исследования угроз компании Uptycs недавно обнаружила новый конструктор вредоносных программ - инструмент, продаваемый преступникам для облегчения создания вредоносных программ, - который мы назвали KurayStealer и который обладает возможностями кражи паролей и скриншотов. KurayStealer - это конструктор, написанный на Python, который собирает пароли и скриншоты и отправляет их на канал Discord злоумышленников через веб-хук. Он доступен как бесплатное и коммерческое (VIP) программное обеспечение.
KurayStealer
Системы разведки угроз Uptycs обнаружили первый образец KurayStealer 27 апреля 2022 года. Согласно OSINT-исследованиям, этот билдер был впервые разрекламирован 23 апреля 2022 года через Youtube и Discord под ником "Portu".
Конструктор KurayStealer был идентифицирован в системах разведки 27 апреля 2022 года (хэш - 8535c08d7e637219470c701599b5de4b85f082c446b4d12c718fa780e7535f07) с именем c2.py.
Конструктор был написан на языке Python и работает в Python 3.0 (он же "Python 3000" или "Py3k").
После выполнения сборщик проверяет наличие универсального уникального идентификатора (UUID) с помощью команды "wmic csproduct get UUID" .
Эта проверка выполняется для проверки соответствия сгенерированного UUID списку UUID в https://pastebin.com/raw/Hc9W90Ld, чтобы определить, является ли пользователь бесплатным или VIP-пользователем.
На основе данных о бесплатном или VIP-пользователе и ввода webhook в машину забрасывается файл с именем DualMTS.py, DualMTS_VIP.py.
DualMTS.py пытается заменить строку "api/webhooks" на "Kisses" в BetterDiscord в попытке обойти защиту и беспрепятственно отправить webhooks.
Затем файл DualMTS.py пытается сделать снимок экрана машины с помощью модуля python "pyautogui". Наряду с этим он также определяет географическое положение машины. Фрагмент этой операции показан на рисунке ниже .
Он также собирает пароли и токены из следующего списка 21 программного пакета: Discord, Lightcord, Discord PTB, Opera, Opera GX, Amigo, Torch, Kometa, Orbitum, CentBrowser, 7Star, Sputnik, Vivaldi, Chrome SxS, Chrome, Epic Privacy Browser, Microsoft Edge, Uran, Yandex, Brave, Iridium.
Собранная информация, включая имя компьютера, геолокацию, ip-адрес, учетные данные и снимок экрана машины жертвы, отправляется на канал Discord через веб-хуки.
Судя по работе и реализации, конструктор KurayStelaer содержит несколько компонентов различных краж паролей, использующих токены Discord в качестве каналов управления и контроля (C2) для сбора данных жертв.
Код сборщика также содержал ссылку на канал Discord https://Discord.gg/AHR84u767J, принадлежащий создателям этого сборщика. В канале упоминается пост о коммерческой версии этого конструктора с различными вариантами цен.
Исследование KurayStealer, подчеркивает рост распространенности краж паролей, использующих токены Discord в качестве C2 для сбора учетных данных жертв.
Indicators of Compromise
SHA256
- 8535c08d7e637219470c701599b5de4b85f082c446b4d12c718fa780e7535f07
- 09844d550c91a834badeb1211383859214e65f93d54d6cb36161d58c84c49fab
- 30b61be0f8d2a8d32a38b8dfdc795acc0fac4c60efd0459cb3a5a8e7ddb2a1c0