TROX Stealer - уникальный инфопохититель, предоставляемый в рамках MaaS, был обнаружен и исследован командой Sublime по исследованию угроз. Этот инфопохититель предназначен для похищения конфиденциальных данных, включая кредитные карты, учетные данные браузера, криптовалютные кошельки и файлы сессий для Discord и Telegram.
Описание
ТROX Stealer был впервые обнаружен в декабре 2024 года, но имел следы активности, указывающие на его возможное выпуск в апреле 2024 года. Он распространялся как MaaS-продукт и мог быть лицензирован на еженедельной основе для использования в различных атакующих кампаниях.
Для доставки TROX Stealer атакующие использовали срочные электронные письма, которые создавали чувство срочности, связанное с задолженностью или судебным разбирательством. Получатели писем были предоставлены с ссылкой для получения юридических документов, которая перенаправляла их на домен documents[.]debt-collection-experts[.]com. Здесь происходила загрузка исполняемого файла атаки под названием DebtCollectionCase#######.exe.
Исследование также выявило инфраструктуру, используемую в этой и других атаках того же автора вредоносного ПО. Два домена, debt-collection-experts[.]com и debt-collection-experts[.]online, зарегистрированы были одновременно, их хосты указывали на разные IP-адреса. Домен .online разрешился на IP 192.64.119.79, а домен .com использовал услуги Cloudflare. IP-адрес 89.185.82.34 был центральным элементом в этой кампании.
В целом, TROX Stealer представляет угрозу для обычных потребителей, поскольку может похищать конфиденциальные данные из основных веб-браузеров и чат-клиентов. Атакующие используют срочные сообщения, чтобы убедить людей пройти по ссылкам и загрузить вредоносное ПО, которое затем получает доступ к их личной информации.
Indicators of Compromise
IPv4
- 172.22.117.177
- 89.185.82.34
Domains
- debt-collection-experts.com
- debt-collection-experts.online
- docs.debt-collection-experts.online
- documents.debt-collection-experts.com
- download.debt-collection-experts.online
- downloads.debt-collection-experts.online
Emails
MD5
- c568b578da49cfcdb37d1e15a358b34a
- f5f75c9d71a891cd48b1ae9c7cc9f80d
- fedb7287bcccc256a8dad8aeace799f7
SHA1
- 29a13e190b6dd63e227a7e1561de8edbdeba034b
- 6deea67690f90455280bc7dfed3c69d262bf24f6
- ae5166a8e17771d438d2d5e6496bee948fce80a4
SHA256
- 12069e203234812b15803648160cc6ad1a56ec0e9cebaf12bad249f05dc782ef
- 5d7ed7b8300c94e44488fb21302a348c7893bdaeef80d36b78b0e7f0f20135df
- c404baad60fa3e6bb54a38ab2d736238ccaa06af877da6794e0e4387f8f5f0c6