Группа исследователей угроз компании Uptycs обнаружила новый инструмент для создания вредоносных программ под названием KurayStealer. Этот конструктор, написанный на Python, предназначен для кражи паролей и скриншотов с компьютеров жертв, отправляя полученные данные на канал Discord злоумышленников через веб-хук. KurayStealer распространяется как в бесплатной, так и в коммерческой (VIP) версиях, что делает его доступным для широкого круга киберпреступников.
Описание
Первый образец KurayStealer был обнаружен 27 апреля 2022 года, хотя его реклама началась еще 23 апреля через YouTube и Discord под ником "Portu". Инструмент привлек внимание специалистов по кибербезопасности из-за своей многофункциональности и использования популярных платформ, таких как Discord, для управления атаками.
Особенностью KurayStealer является проверка уникального идентификатора (UUID) системы жертвы с помощью команды "wmic csproduct get UUID". Это позволяет злоумышленникам определять, является ли пользователь бесплатным или VIP-клиентом, и в зависимости от этого загружать соответствующий вредоносный файл - DualMTS.py или DualMTS_VIP.py. Далее программа пытается обойти защиту BetterDiscord, заменяя строку "api/webhooks" на "Kisses", чтобы беспрепятственно отправлять данные.
KurayStealer обладает широким функционалом для сбора конфиденциальной информации. Он делает скриншоты экрана с помощью модуля Python "pyautogui", определяет географическое положение жертвы, а также собирает пароли и токены из 21 популярного браузера и приложения, включая Discord, Chrome, Opera, Microsoft Edge и другие. Вся украденная информация - имя компьютера, IP-адрес, учетные данные и скриншоты - отправляется на Discord через веб-хуки, что делает этот канал удобным инструментом управления атакой.
Анализ кода KurayStealer показал, что он комбинирует элементы различных вредоносных программ, использующих Discord в качестве канала управления и контроля (C2). В коде также была обнаружена ссылка на Discord-канал создателей (https://Discord.gg/AHR84u767J), где предлагается коммерческая версия конструктора с различными тарифными планами, что указывает на его профессиональную разработку и монетизацию.
Этот случай подчеркивает растущую тенденцию использования Discord и других мессенджеров в кибератаках. Злоумышленники все чаще выбирают подобные платформы из-за их доступности, простоты интеграции и сложности блокировки. KurayStealer - еще один пример того, как киберпреступники адаптируются к современным технологиям, создавая инструменты, способные обходить защитные механизмы и наносить серьезный ущерб пользователям.
Эксперты Uptycs рекомендуют пользователям соблюдать повышенную осторожность при работе с подозрительными ссылками и файлами, регулярно обновлять программное обеспечение и использовать надежные антивирусные решения. Кроме того, важно проверять настройки безопасности в Discord и других сервисах, чтобы минимизировать риски утечки данных. Обнаружение KurayStealer еще раз подтверждает необходимость постоянного мониторинга угроз и оперативного реагирования на новые методы кибератак.
Индикаторы компрометации
Indicators of Compromise
SHA256
- 8535c08d7e637219470c701599b5de4b85f082c446b4d12c718fa780e7535f07
- 09844d550c91a834badeb1211383859214e65f93d54d6cb36161d58c84c49fab
- 30b61be0f8d2a8d32a38b8dfdc795acc0fac4c60efd0459cb3a5a8e7ddb2a1c0
