Исследователи из Cyfirma обнаружили Mint Stealer, вредоносную программу для похищения информации, работающую в рамках системы «вредоносное ПО как услуга» (MaaS). Mint Stealer предназначен для скрытой утечки широкого спектра конфиденциальных данных из взломанных систем, включая данные веб-браузера, данные криптовалютного кошелька, игровые учетные данные, информацию VPN-клиента, данные приложения для обмена сообщениями, данные FTP-клиента и многое другое.
Mint Stealer
Возможности Mint-stealer включают в себя перехват системной информации, обнаружение отладчиков и инструментов анализа, постоянный перехват данных буфера обмена с помощью команд PowerShell, шифрование эксфильтрованных данных и связь с C2-сервером для получения обновлений и инструкций.
Mint Stealer создается с помощью компилятора Nuitka Python и опирается на динамические модули Python для поддержки своей функциональности. Начальная полезная нагрузка выступает в роли дроппера, а основная полезная нагрузка скрыта в сжатом виде в разделе ресурсов исполняемого файла. Он загружает украденные данные на бесплатные файлообменные сайты и связывается со своим командно-контрольным сервером (C2) для получения обновлений и инструкций. Злоумышленник, стоящий за Mint Stealer, связан с другим сайтом, продающим вредоносное ПО, cashout[.]pw, и предлагает услуги хостинга, не соблюдающего DMCA-запросы.
Indicators of Compromise
IPv4
- 94.156.79.162
Domains
- cashout.pw
- mint-c2.top
- mint-stealer.top
URLs
- mint-c2.top/api/injection
- mint-c2.top/api/won
MD5
- 9f037593071344bc1354e5a619f914f4
- e6e620e5cac01f73d0243dc9cf684193
SHA256
- 1064ab9e734628e74c580c5aba71e4660ee3ed68db71f6aa81e30f148a5080fa
- db47e673cccdbe2abb11cc07997aeabf4d2bdc9bec286674b58c6baafa09b823
