ScarletStealer Malware IOCs

В январе прошлого года Kaspersky Lab проанализировали загрузчик, который мы окрестили «Penguish». Одной из полезных нагрузок, которую он загружал, был ранее неизвестный похититель, который мы назвали «ScarletStealer».

ScarletStealer - довольно странный крадун, поскольку большая часть его крадущего функционала содержится в других загружаемых им двоичных файлах (приложениях и расширениях Chrome). Точнее говоря, когда ScarletStealer запускается, он проверяет наличие криптовалют и криптокошельков, проверяя определенные пути к папкам (например, %APPDATA%\Roaming\Exodus). Если что-то обнаружено, начинается загрузка дополнительных исполняемых файлов с помощью следующей команды PowerShell:

Среди загружаемых им двоичных файлов - metaver_.exe (используется для кражи контента из расширений Chrome), meta.exe (изменяет ярлык Chrome, чтобы браузер запускался с вредоносным расширением) и другие. Большинство исполняемых файлов ScarletStealer имеют цифровую подпись.

ScarletStealer очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. Например, вредоносная программа пытается закрепиться в системе, создавая ключ реестра для автозапуска. Ключ реестра содержит путь к файлу Runtimebroker_.exe, однако ни в одном из файлов, участвующих в заражении, мы не нашли кода, который бы хранил хотя бы один исполняемый файл с таким именем.

Поэтому довольно странно, что этот похититель распространяется через длинную цепочку загрузчиков, где последним является загрузчик Penguish, и подписан цифровым сертификатом. Можно было бы ожидать, что все эти усилия приведут к появлению более продвинутого похитителя, чем ScarletStealer.

Жертвы ScarletStealer в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.

Indicators of Compromise

MD5

• 1d3c3869d682fbd0ae3151b419984771
• c0cf3d6d40a3038966f2a4f5bfe2b7a7
• f8b2b941cffb9709ce8f422f193696a0