Компания Cyfirma обнаружила новый похититель информации Yunit Stealer, предназначенный для извлечения конфиденциальных данных, включая системную информацию, учетные данные, файлы cookie и криптовалютные кошельки.
Yunit Stealer
Вредоносная программа использует JavaScript и различные методы защиты, такие как модификация ключей реестра Windows и отключение Windows Defender. Для утечки данных он использует веб-крючки Discord и Telegram. Вредоносная программа использует обфускацию, чтобы избежать обнаружения, и использует команды PowerShell, чтобы скрыть свои действия.
Разработчик Yunit Stealer, предположительно, базируется во Франции и связан с игровыми платформами. Вредоносная программа особенно искусна в сборе и утечке данных браузера и информации о криптовалютах, манипулируя распространенными системными утилитами и файлами. Кроме того, он использует запланированные задачи и модификации реестра для обеспечения своей активности на взломанных системах. В код вредоносной программы включены функции геозондирования, позволяющие ей избирательно действовать в зависимости от географического положения.
По данным расследования Cyfirma, разработчик имеет опыт работы с вредоносными проектами и активно участвует в сообществах, связанных с играми, что может повлиять на создание этого крадуна. Методы работы Yunit Stealer делают его угрозой для кражи информации, в частности, благодаря механизмам персистенции и способности обходить меры безопасности.
Indicators of Compromise
SHA256
- f1f4176c1cfb6eedbdc025510b1fcdbfeaee857e2bbb5db63c1e0ebf2d71d077
