Pentagon Stealer - вредоносная программа, имеющая разновидности для Python и Golang, которые крадут данные, такие как учетные данные браузера, куки, данные криптокошелька, токены Discord/Telegram и определенные файлы.
Описание
Эта программа запускает браузеры на базе Chromium в режиме отладки для извлечения незашифрованных cookie-файлов и заменяет файлы app.asar в криптокошельках Atomic/Exodus для кражи мнемоник и паролей.
Она распространяется через typosquatting и имеет различные имена, такие как 1312, Acab, Vilsa и BLX стилер. BLX добавляет кражу буфера обмена, скриншотов и данных Steam/Epic. Вредоносная программа использует HTTP-запросы с серверами типа pentagon[.]cy и stealer[.]cy и представляет постоянную угрозу с новыми вариантами и минимальными обновлениями.
Команда ANY.RUN обнаружила Pentagon Stealer, изучая образец вредоносного ПО на Golang, который инициирует процессы браузеров и проводит кражу данных. Дальнейшее исследование этого ПО позволило обнаружить его административную панель на домене pentagon.cy, что привело к названию вредоносной программы Pentagon Stealer.
Python-версия Pentagon Stealer начинается с скрипта-дроппера, который запускает зашифрованный файл python_setup.py для запуска основного модуля похитителя. Основной модуль крадет различные данные, включая учетные данные и файлы cookie из браузеров, данные криптокошельков, токены Discord/Telegram и определенные файлы. Программа также заменяет файлы app.asar в криптокошельках Atomic/Exodus для кражи информации.