The RedLine password stealer virus is new malware available for sale on Russian underground forums with several pricing options: $150 lite version; $200 pro version; $100 / month subscription option. Вирус под названием Vega Stealer, угрожающий пользователям браузеров Google Chrome и Firefox, обнаружили специалисты компании Proofpoint. В его создании обвиняют «хакеров из России», пишет The Hacker News. Вирус получил название Ficker Stealer. В Telegram распространяют вирус, помогающий злоумышленникам взломать Mac.
Mystic Stealer ворует данные из 40 браузеров и более 70 расширений
Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на spb. На информационном ресурсе применяются рекомендательные технологии информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации.
Следующие данные мы получаем после простого визуального осмотра стиллера: 1534 KБ, исходное имя — stub. И на этом моменте автор потерял себя, надежда увидеть что-то уникальное и эксклюзивное полностью исчезла. Как оказалось, Enigma является модифицированной версией этого самого репозитория. Так уж и быть, по классике, воспользуемся DIE для получения дополнительной информации. Из интересного стоит отметить, что он написан на C и здесь уже был использован метод изменяющий дату компиляции. Это «Timestomping», он представляет собой антикриминалистический метод, используемый для того, чтобы ввести следствие и специалистов быстрого реагирования в заблуждение. Вирустотал показал замечательные показатели обнаружения: А теперь непосредственно к делу. Для реверс-инжиниринга вредоносов, написанных с помощью C , мы будем использовать следующий сетап утилит: DNSpy — декомпилятор, дизассемблер и дебаггер в одном. Хороший, простой и бесплатный.
И уже неоднократно фигурировали в моих статьях. Вскрываем и анализируем. По классике, разметим основной алгоритм работы вредоноса. Создание рабочей директории и загрузка конфигурационных файлов. Сбор информации о системе и кража данных. Отправка данных злоумышленнику через телеграм-бота. Создание рабочей директории и загрузка конфигурационных файлов Сразу после запуска происходит процесс создания рабочего каталога, в разных версиях стиллера этот процесс отличается, но конкретно в нашем он представлен следующим участком кода: Сразу после этого происходит процесс обработки конфига вредоноса, если он отсутствует — производится его загрузка с командного сервера. Конфигурация нашего вредоноса выглядит следующим образом: Исходя из этого мы можем определить используемые модули и базовые возможности стиллера. Основными являются Keylogger и Grabber. Keylogger — в данной ситуации это модуль, главным назначением которого является скрытый мониторинг нажатий клавиш на клавиатуре и ведение журнала.
Grabber — модуль, отвечающий за непосредственно сбор печенек и других файлов. Затем вредонос начинает собирать системную информацию и крадет информацию о пользователях, токены и пароли из различных веб-браузеров и приложений, таких как Google Chrome, Microsoft Edge, Microsoft Outlook, Telegram, Signal, OpenVPN и других. Также вредонос создает снимки экрана и отправляет все данные в Telegram. После чего собранные данные будут помещены в архив посредством «CreateArchive», это вы можете увидеть на скриншоте, как и список собираемой информации: Логика отправки данных в бота Телеграм выглядит следующим образом, ничего особо примечательного в ней нет: Краткий динамический анализ вредоноса Все тесты проводятся на виртуальной машине, ни в коем случае не повторяйте этого самостоятельно, тем более на основной. Для динамического анализа у нас уже имеется следующий сетап утилит все они находятся в открытом доступе : ProcessHacker — простенько и со вкусом, понаблюдаем за тем, как вирус взаимодействует с другими.
Meduza Stealer не атакует кошельки, если их IP-адреса исходят с территории стран, входящих в СНГ Специалисты компании предполагают, что вирус создали в России или Беларуси, так как он не атакует устройства жертв, если их IP-адреса исходят с территории стран СНГ. Кроме этого удалось установить, что создатели нового вируса ведут паблик в Telegram на русском, и дублируют его на английском языке. Заражая кошельки жертв на базе Windows, владелец вируса может делать скриншоты рабочего стола жертвы, похищать данные из браузера и другие метаданные, связанные с Discord, Steam и системными файлами.
Разработчики позаботились и об удобном управлении вредоносом: в веб-интерфейсе выводится информация о том, что Meduza удалось собрать на компьютере жертвы, а также средства для скачивания или удаления этих данных. Объявления о продаже экземпляров Meduza Stealer обнаружены в даркнете. Покупка «лицензии» осуществляется через Telegram. Вечерний 3DNews Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы.
Хакеры атакуют пользователей ПК, используя новый вирус
Trojan PureLogs Stealer is a Trojan that is designed to steal sensitive information from the infected computer, such as login credentials, financial information, and other personal data. Хакеры, используя вирус Phemedrone Stealer, атакуют пользователей ПК. Об этом накануне сообщило издание TechRadar. Discord Token Grabber, Password Stealer, Cookie Stealer, File Stealer, Crypto wallet Stealer etc. python windows virus malware trojan no-dependencies stealer. Новый троянский вирус Mars Stealer атакует браузерные криптокошельки. Стиллер — это программа, которая предназначена для хищения учетных данных (логинов и паролей) пользователей.
Криптокошельки за пределами пяти стран СНГ оказались под угрозой нового трояна
Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на spb. На информационном ресурсе применяются рекомендательные технологии информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации.
Новый вирус «енот-воришка» недавно стал известен по всему земному шару реклама Не так давно от разных иностранных источников начали поступать сообщения о новом вирусе под названием Racoon Stealer, который как и многие подобные занимается кражей данных у пользователей, попавших под «горячую руку» злоумышленников. Так, в частности компания по кибербезопасности Cybereason поделилась всей собранной информацией об этом вирусе. Строение его немного отличается от подобных, это не просто вирус, ворующий данные, а очень грамотно построенный троян. Как рассказали исследователи, разбирающиеся в его работе, троян устроен самым простейшим образом, использовать который для мошенников не составляет никакого труда.
Выбор хостинга для Android-трояна, по словам аналитиков, необычен: это украинский сервис Ucoz, а не российский или европейский дата-центр, которым отдают предпочтение фишеры рунета. Работа осуществляется в фоновом режиме, через 10 секунд после старта иконка исчезает из списка приложений. Основные функции ограничены несколькими командами: доступа к СМС, в которых могут содержаться одноразовые коды, вполне достаточно для взлома банковского аккаунта жертвы персональные данные она уже вручила злоумышленникам.
Установлено, что данная киберкампания была запущена 28 марта; мобильного трояна вначале выдавали за софт для защиты от спама.
За 150 долларов в месяц желающие могут использовать его для атаки на 40 браузеров, 70 браузерных расширений, 21 связанное с криптовалютой приложение, данные из Steam и Telegram, а также другие объекты. Для информации о вредоносе даже завели отдельный Telegram-канал. Mystic Stealer поражает все версии Windows: от XP to 11.
Появился крадущий пароли вирус Meduza Stealer, который не трогает пользователей из СНГ
Kozak Здравствуйте. Сейчас во всей сети Интернет стал популярен новый так сказать "вирус". Steam Stealer - получил свое имя от своей деятельности. Поясню "на пальцах", жертва запускает данный вирус и абсолютно весь инвентарь переходит к злодею.
Компания Cyble Research в апреле обнаружила вредоносное программное обеспечение, предназначенное для компьютеров macOS, для извлечения паролей и закрытых ключей от криптокошельков. Эксперты постоянно рекомендуют использовать высококачественное антивирусное программное обеспечение для обеспечения безопасности. Кроме того, для оптимальной безопасности рекомендуется хранить крупные суммы денег в холодных кошельках.
В ноябре прошлого года было выпущено исправляющее обновление, но оно пока не дошло до всех пользователей Windows. Ранее компания Microsoft запретила обновляться до Windows 11 с помощью дешевых ключей для Windows 7.
При анализе нового вируса установлено, что он не только может воровать персональные данные, но и часть реестра операционной системы Windows, а также списки компьютерных игр на компьютере жертвы. Разработчики вирусного ПО позаботились и об удобстве анализа полученной информации. Все выводится в удобный для анализа WEB интерфейс с последующей возможностью для загрузки или удаления ненужной информации.
Появилось вредоносное ПО Meduza Stealer, которое не трогает пользователей из СНГ
stealers statistics. Новое вредоносное ПО Mystic Stealer перешло в стадию активного развития и все чаще используется в атаках. A new virus has been identified known as BLUESTEALER that includes a keylogger, bitcoin stealer, and document uploader in one package. По электронной почте распространяется новый вирус August Stealer, который ворует из популярных браузеров пароли, платежные данные и другую информацию.
Новый опасный вирус атаковал пользователей браузеров Chrome и Firefox
В нем публикуют новости о внутренних конкурсах, рассказывают о новых возможностях в группе, а также о временных сбоях в работе стилера, когда такие бывают. Эксперты по кибербезопасности из компании Uptycs сообщили, что ими было обнаружено вредоносное ПО Meduza Stealer. Cybersecurity researchers have uncovered a sophisticated typosquatting campaign that deployed cryptocurrency stealer malware via 13 malicious NuGet. Спецслужбы США и Германии столкнулись с утечкой данных сотрудников из-за использования онлайн-сканера вирусов VirusTotal, принадлежащего корпорации Alphabet. 3DNews Новости Software Шифрование и защита данных Появился крадущий пароли вирус Meduza St.
Atomic, да не Heart: новый вирус «Atomic macOS Stealer» ворует кредитные карты и криптовалюту
При этом Vega Stealer распространяется по e-mail с файлом brief. Заразив компьютер, данный вирус начинает собирать файлы cookies. В результате злоумышленники-распространители вируса получают доступ к широкому спектру данных: реквизитам банковских карт пользователя компьютера, платежной информации, паролям в соцсетях и т.
Эксперты заявляют, что покупка его - это отличный способ быстрого заработка, и потраченная сумма быстро окупится. Также исследователи заметили в его работе один необычный факт: когда вирус встречается со славянскими языками, он автоматически отключается и не наносит никакого вреда. Обычно такое происходит, когда троян создают в одной из стран с такими языками и поэтому он «не бьёт своих». Максимально подробно об этом вирусе можно прочитать на сайте.
Для этого можно купить VDS сервер за 200 рублей и установить его. Билд и крипт Итак, рат работает, теперь нужно сделать билд и закриптовать его. Переходим в билдер, создаем билд и обязательно ставим auto steal авто стиллер для того, чтобы когда пользователь в оффлайне, мы могли скачать лог. После создания билда нам нужно его закриптовать.
Крипт можно купить у ребят на форуме за 350-500 рублей ну или же сделать самому, лично я криптую через кряк enigma protector скачать. Ни в коем случае не качайте демо версию с официального сайта. Когда мы сделали билд, нам нужно достать самый большой файл, который находится в билде, и криптовать его. Кликаем ПКМ по билду и затем выбираем "Извлечь в текущую папку". Теперь нам нужен самый большой файл он же exe. Его мы собственно будем криптовать. Переходим в enigma, нажимаем "Select file to protect" и выбираем файл. После этого нажимаем protect. Вирус закриптован, проверяем на себе или же в виртуальной машине и, если пришел лог, идем распространять. Мой крипт: Распространение После билда и крипта переименовываем файл, грузим в rar архив я делаю без пароля и заливаем на файлообменник: mega , yandex disk и т.
Можно лить трафик как через YouTube, так и через Facebook, либо же спам по группам ВК не очень вариант, но все же. Мы будем лить через YouTube. Для этого нам понадобятся видео, через которые мы будем лить.
Вирус под названием Vega Stealer, угрожающий пользователям браузеров Google Chrome и Firefox, обнаружили специалисты компании Proofpoint. При помощи нового вируса хакеры крадут данные учетных записей, а также платежную информацию: сохраненные банковские карты, профили в соцсетях и файлы cookie, которые хранятся в браузерах. Исследователи установили, что вирус активно использовали для заражения устройств представителей бизнеса: маркетинга, рекламы, связей с общественностью, розничной торговли и производства.
Stealer 44CALIBER(вирус для кражи данных)
Вскрываем и анализируем. По классике, разметим основной алгоритм работы вредоноса. Создание рабочей директории и загрузка конфигурационных файлов. Сбор информации о системе и кража данных. Отправка данных злоумышленнику через телеграм-бота. Создание рабочей директории и загрузка конфигурационных файлов Сразу после запуска происходит процесс создания рабочего каталога, в разных версиях стиллера этот процесс отличается, но конкретно в нашем он представлен следующим участком кода: Сразу после этого происходит процесс обработки конфига вредоноса, если он отсутствует — производится его загрузка с командного сервера. Конфигурация нашего вредоноса выглядит следующим образом: Исходя из этого мы можем определить используемые модули и базовые возможности стиллера. Основными являются Keylogger и Grabber.
Keylogger — в данной ситуации это модуль, главным назначением которого является скрытый мониторинг нажатий клавиш на клавиатуре и ведение журнала. Grabber — модуль, отвечающий за непосредственно сбор печенек и других файлов. Затем вредонос начинает собирать системную информацию и крадет информацию о пользователях, токены и пароли из различных веб-браузеров и приложений, таких как Google Chrome, Microsoft Edge, Microsoft Outlook, Telegram, Signal, OpenVPN и других. Также вредонос создает снимки экрана и отправляет все данные в Telegram. После чего собранные данные будут помещены в архив посредством «CreateArchive», это вы можете увидеть на скриншоте, как и список собираемой информации: Логика отправки данных в бота Телеграм выглядит следующим образом, ничего особо примечательного в ней нет: Краткий динамический анализ вредоноса Все тесты проводятся на виртуальной машине, ни в коем случае не повторяйте этого самостоятельно, тем более на основной. Для динамического анализа у нас уже имеется следующий сетап утилит все они находятся в открытом доступе : ProcessHacker — простенько и со вкусом, понаблюдаем за тем, как вирус взаимодействует с другими. Regshot — очень простое приложение с открытым исходным кодом, которое позволит просмотреть изменения в реестре после запуска вредоноса.
По классике, делаем слепок нашего реестра, открываем все приложения и наблюдаем. Сразу же после открытия процесс вируса устанавливает соединение с командным PHP сервером, и некоторое время ничего не происходит. Затем появляются ещё несколько процессов, которые уже начинают получение какой-то информации с того же самого IP-адреса. Так и происходит загрузка второй ступени. Далее в ProcessHacker начинает маячить новый процесс Update. На этом моменте, если проверить планировщик задач Windows, можно увидеть следующее: Это свидетельствует об успешном выполнении второй ступени вредоноса, ведь задача отвечает за ежедневное выполнение вредоносного. На снимках реестра можно увидеть то самое удаление раздела Intel в реестре Windows: Но после этого выполнение прервалось по неизвестным мне причинам.
Немного о командном PHP сервере Всего мы успели заметить два IP адреса, первый исходит от начальной ступени, второй же — от вредоносного. Второй нам не особо интересен, так как ссылается сразу же на API Телеграма: Но вот первый является достаточно интересным экземпляром, так как из него можно извлечь некоторую полезную информацию.
Он называется RedLine Stealer и при запуске на компьютере крадёт пароли, данные банковских карт и криптокошельков. Его нашли специалисты компании HP. Сообщается, что вредоносный файл распространяется через веб-сайт, который очень похож на официальную страницу Microsoft Windows 11 — он размещался на домене windows-upgrade.
В первую очередь, конечно же, после запуска файла стиллер проверяет, находится он в операционной системе или в песочнице.
Для этого он применяет функцию анти-отладки из WinAPI и всё равно проникает в изначальную среду выполнения, поэтому крайне не рекомендуется проверять подобные вирусы даже в виртуальных машинах. Затем, как ни странно, стиллер крадёт данные. Давайте по порядку. Браузеры Код, крадущий пароли из Google Chrome Habr Стиллер умеет красть множество данных из Chromium-браузеров, в их числе: пароли, закладки, история, куки-файлы, автозаполнение, список скачанных файлов. Из Gecko-браузеров основанных на движке Firefox обычно можно украсть только закладки и куки. Раньше я думал, что нельзя просто так пошариться в файлах и вынуть оттуда мои пароли — там же всё зашифровано.
Оказалось, я был в корне не прав. Конечно, данные там может быть и зашифрованы, только вот к ним очень легко получить доступ через библиотеку SQLite3, которой активно пользуются не только программисты, но и злоумышленники. Системная информация Так выглядит лог стиллера CryptoWorld Разные стиллеры собирают разную информацию, но в целом они могут узнать буквально всё. Помимо данных со снимка экрана выше, стиллеры крадут информацию о сетях и пароли к ним, IP, ключ активации Windows и делают снимок экрана жертвы. Я до сих пор так и не понял, для каких целей злоумышленнику могут пригодиться пароли от моего Wi-Fi или информация о том, какая в моём ноутбуке видеокарта. Файлы и токены Компьютер отображается мой, но вот геопозиция и IP-адрес — чужие В целом стиллер может выкачать всё, что захочет.
Но, очевидно, большие по объёму файлы скачивать нет никакого смысла, так как не факт, что они окажутся полезными и дойдут до места назначения. Поэтому, зачастую, стиллер копирует всю папку AppData и помимо неё сессии Telegram и Discord из подпапки Roaming. Именно такой способ позволяет заходить в ваш аккаунт Telegram без необходимости авторизации по номеру и даже ввода пароля двухфакторной аутентификации. Если внедрить украденные файлы сессии иначе говоря, — токен в другой клиент Telegram, сервер будет думать, что в аккаунт заходят с того же устройства, что и раньше. Помимо этого стиллер целенаправленно крадёт изображения, документы, файлы с расширением, присущим исходным кодам. Остальные возможности Примерно в таком виде злоумышленник получает собранную стиллером информацию Habr, CyberForum Помимо вышеописанного, стиллеры могут содержать в себе следующие функции: Кража банковских и криптовалютных кошельков применяется редко, так как особенно строго преследуется по закону.
Согласно их отчету , Phemedrone Stealer нацелен на веб-браузеры и похищает данные из криптовалютных кошельков, а также информацию из мессенджеров Telegram, Steam и Discord. Кроме того, вирус не только ворует данные, но и делает скриншоты экрана и собирает информацию о системе, включая детали об аппаратном обеспечении, местонахождении и операционной системе. Trend Micro объясняет, что уязвимость возникает из-за отсутствия проверок у Microsoft Defender и связанных запросов на файлах с расширением.