Исследователи компании Proofpoint зафиксировали рост числа кампаний с использованием вредоносного ПО на базе открытого кода Stealerium, первоначально размещенного на GitHub «в образовательных целях». Этот инфостилер (программа для кражи данных) демонстрирует значительное перекрытие кода с другими семействами, такими как Phantom Stealer, что усложняет его детектирование.
Описание
С начала 2025 года активность, связанная с Stealerium, заметно возросла. Киберпреступники, включая группу TA2715, используют разнообразные методы доставки: вложения в виде исполняемых файлов, JavaScript, VBScript, а также образы дисков (ISO, IMG). Тематика писем варьируется от финансовых уведомлений и судебных повесток до благотворительных запросов и туристических предложений, что усиливает эффект социальной инженерии.
После запуска Stealerium выполняет серию команд для сбора Wi-Fi профилей, данных беспроводных сетей и системной информации. Он также использует PowerShell для добавления исключений в Защитник Windows и планировщик задач для обеспечения устойчивости. Собранные данные включают cookies, учетные данные браузеров, информацию банковских карт, игровые сессии и даже данные криптокошельков.
Одной из особенностей Stealerium является функция обнаружения контента для взрослых в открытых вкладках браузера с последующим скриншотом экрана и веб-камеры, что может использоваться для шантажа. Экфильтрация данных осуществляется через SMTP, Discord, Telegram, GoFile и даже через сервис Zulip Chat.
Stealerium активно использует методы против анализа, включая проверки имени пользователя, IP-адреса, графического адаптера и GUID системы. Некоторые образцы динамически загружают обновленные блок-листы с публичных репозиториев GitHub.
Организациям рекомендуется отслеживать подозрительную активность, такую как использование команд "netsh wlan", исключения в Защитнике Windows через PowerShell и неавторизованные исходящие подключения к сторонним сервисам. Stealerium остается значимой угрозой due своей доступности, гибкости и широкому спектру возможностей по краже данных.
Индикаторы компрометации
SHA256
- 41700c8fe273e088932cc57d15ee86c281fd8d2e771f4e4bf77b0e2c387b8b23
- 50927b350c108e730dc4098bbda4d9d8e7c7833f43ab9704f819e631b1d981e3
- a00fda931ab1a591a73d1a24c1b270aee0f31d6e415dfa9ae2d0f126326df4bb
- b640251f82684d3b454a29e962c0762a38d8ac91574ae4866fe2736f9ddd676e
- d4a33be36cd0905651ce69586542ae9bb5763feddc9d1af98e90ff86a6914c0e
- e590552eea3ad225cfb6a33fd9a71f12f1861c8332a6f3a8e2050fffce93f45e
