Stealc - это похититель информации, рекламируемый его предполагаемым разработчиком Plymouth, продаваемый как вредоносное ПО как услуга с 9 января 2023 года. Согласно заявлению Plymouth, stealc - это нерезидентный похититель с гибкими настройками сбора данных, а его разработка опирается на другие известные похитители: Vidar, Raccoon, Mars и Redline.
Stealc написан на языке C и использует функции WinAPI. В основном он атакует веб-браузеры, расширения и Desktop-приложения криптовалютных кошельков, а также другие приложения (мессенджеры, почтовые клиенты и т.д.). Для сбора конфиденциальных данных из веб-браузеров вредоносная программа загружает 7 легитимных DLL-библиотек сторонних разработчиков, включая sqlite3.dll, nss3.dll, vcruntime140.dll, mozglue.dll, freebl3.dll, softokn3.dll и msvcp140.dll. Затем он пересылает собранную информацию файл за файлом на свой C2-сервер с помощью HTTP POST-запросов.
Indicators of Compromise
URLs
- http://109.107.181.33/742d3278227bff91/freebl3.dll
- http://109.107.181.33/742d3278227bff91/mozglue.dll
- http://109.107.181.33/742d3278227bff91/msvcp140.dll
- http://109.107.181.33/742d3278227bff91/nss3.dll
- http://109.107.181.33/742d3278227bff91/softokn3.dll
- http://109.107.181.33/742d3278227bff91/sqlite3.dll
- http://109.107.181.33/742d3278227bff91/vcruntime140.dll
- https://erp.wesmarines.com/getme.txt
- https://mimsmehediclub.com/download.html
- https://mimsmehediclub.com/download.php
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
MD5
- 3859aabec735477f07705e4bdb39ddfe
- 8674ff1a3b99f9a9c296c64e80546645
- 8f88eeecea60c0bb5d80e5e880f6708b
- bac20cfe7e6dc608aad567ab885d4f19
- bda164229deba9581da386c060171b58