Недавно компания Cyfirma обнаружила на GitHub сложную вредоносную программу под названием «Vilsa Stealer». Вредоносная программа предназначена для незаметного и эффективного извлечения конфиденциальных данных.
Vilsa Stealer
Vilsa stealer собирает информацию из различных источников, таких как браузеры, криптовалютные кошельки, Discord, Steam, Telegram и другие. Написанный на языке Python, он применяет шифрование для маскировки своего поведения и использует передовые методы для обхода мер безопасности. Vilsa Stealer также обеспечивает постоянство, копируя себя в папку Windows Startup, что позволяет ему запускаться при каждой загрузке.
Одна из его ключевых функций - нацеливание на расширения браузеров для кражи данных криптовалютных кошельков, а другая - завершение процессов, связанных с инструментами анализа безопасности, такими как Wireshark или Process Hacker. Вредоносная программа также проверяет виртуальные машины и завершает их работу в случае обнаружения. Он загружает украденные данные на удаленный сервер с помощью GoFile API и шифрует файлы, что затрудняет их обнаружение.
Дополнительная полезная нагрузка, «hvnc.py», предоставляет удаленный доступ к взломанным системам, обходя защиту с помощью методов обхода UAC. Расследование CYFIRMA показало, что вредоносная программа загружает украденные данные на сервер, связанный с подозрительным IP-адресом, который указывает на шпионскую панель, связанную с каналом Telegram. Сложные возможности вредоносной программы делают ее мощным инструментом в киберпреступной среде.
Indicators of Compromise
IPv4
- 83.136.208.208
URLs
- http://bundeskriminalamt.agency/
MD5
- 2b4df2bc6507f4ba7c2700739da1415d
