Главная страница » IOC
0
4 месяца
IOC

MaaS-злоумышленники адаптируются к исправленной защите Chrome

Spyware

Компания Elastic Security Labs обнаружила несколько методов, используемых различными семействами вредоносных программ для обхода функции шифрования Google Chrome Application-Bound Encryption, которая была реализована для защиты файлов cookie, хранящихся в Chrome под Windows.

Описание

Чтобы сохранить конкурентоспособность на рынке и обеспечить надежное извлечение данных cookie из браузеров Chrome, злоумышленники написали новый код для обхода этой защиты. Среди методов, используемых семействами похитителей, - интеграция наступательного инструмента безопасности ChromeKatz, использование COM для взаимодействия со службами Chrome и расшифровки привязанного к приложению ключа шифрования, а также использование функции удаленной отладки в Chrome. Инфокрады, включая StealC, MetaStealer, Phemedrone, XenoStealer и Lumma, реализовали обход недавней функции Google по защите файлов cookie с помощью Application-Bound Encryption.

StealC и Vidar остановились на одной и той же реализации, которая заключается в порождении дочернего процесса с использованием встроенного PE-файла в секции данных двоичного файла для извлечения незашифрованных значений cookie, хранящихся в одном из дочерних процессов Chrome. MetaStealer использует технику, аналогичную той, что была продемонстрирована в gist, опубликованном на сайте X 27 сентября, и, возможно, послужившую источником вдохновения для авторов вредоносной программы. Phemedrone использует комбинацию вспомогательных функций для извлечения cookies, а XenoStealer запускает экземпляр Chrome[.]exe, а затем внедряет код с помощью вспомогательного класса SharpInjector, передавая в качестве параметра зашифрованный ключ. Lumma использует сканирование шаблонов, нацеленное на компонент CookieMonster в Chrome, чтобы определить и выгрузить куки открытым текстом из процесса Chrome.

Indicators of Compromise

SHA256

  • 08d9d4e6489dc5b05a6caa434fc36ad6c1bd8c8eb08888f61cbed094eac6cb37
  • 27e4a3627d7df2b22189dd4bebc559ae1986d49a8f4e35980b428fadb66cf23d
  • 43cb70d31daa43d24e5b063f4309281753176698ad2aba9c557d80cf710f9b1d
  • 84033def9ffa70c7b77ce9a7f6008600c0145c28fe5ea0e56dfafd8474fb8176
  • b74733d68e95220ab0630a68ddf973b0c959fd421628e639c1b91e465ba9299b
Комментарии: 0
Похожие записи
0
2 часа
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
5 дней
IOC

Вредоносная рекламная кампания приводит к похитителям информации, размещенным на GitHub

Spyware
В начале декабря 2024 года была обнаружена крупномасштабная кампания вредоносной рекламы, затронувшая около миллиона устройств по всему миру. Атака произошла через незаконные веб-сайты потокового вещания