CYFIRMA выпустила отчет с подробным описанием Wish Stealer, нового вредоносного ПО для кражи информации, которое нацелено на системы Windows для утечки информации из Discord, веб-браузеров и криптовалютных кошельков, а также других приложений.
Wish Stealer
Эта вредоносная программа получает доступ, эксплуатируя пользовательские сессии, что позволяет ей извлекать учетные данные для входа в систему, куки, данные кредитных карт и даже отключать антивирусное ПО. Он отслеживает коды двухфакторной аутентификации, что делает его угрозой как для личной, так и для корпоративной безопасности.
Вредоносная программа использует функцию «клиппер», которая отслеживает буфер обмена, заменяя адреса криптовалютных кошельков на те, которые контролируются злоумышленником, чтобы перенаправить средства. Выполняя стелс-функции, такие как антиотладка, анти-VM (виртуальная машина) и антидефендер, Wish Stealer избегает обнаружения и повышает свою устойчивость на зараженных системах. Хранящиеся учетные данные для социальных сетей и других приложений, часто находящиеся в папке AppData, также становятся мишенью, позволяя вредоносной программе получить доступ к учетным записям и обойти двухфакторную аутентификацию.
Кроме того, Wish Stealer использует различные папки для управления и выполнения своих функций, в том числе скрывается под видом легитимного процесса в каталоге $APPDATA. Он даже внедряет код для сбора и архивирования украденных данных, затем загружает их на сервер и передает хакерам через Discord. Инструмент циркулирует в Сети с октября 2024 года, но Злоумышленники в Discord рекламируют его продажу с конца сентября.
Indicators of Compromise
MD5
- 7ef9df7a5a4931c6f1bbc9aea0fea977