На форуме в Даркнете хакеры бесплатно раздают всем желающим шпионское ПО, предназначенное для кражи персональной информации. Исходный код зловреда написан на кросcплатформенном языке программирования Rust. Специалисты в области цифровой безопасности подтверждают, что малварь уже активно используется в атаках.
Разработчик зловреда в описании к скрипту указал, что создал скрипт всего за 6 часов. А исследователи вредоносов говорят, что после попадания на целевое устройство, малварь «шифруется» и очень неплохо укрывается от антивирусных систем. По шкале обнаружения VirusTotal зловред набирает всего 22%, что в целом подтверждает его стелс-качества.
Поскольку зловред написан на Rust — кроссплатформенном языке программирования — он позволяет злоумышленникам «прицеливаться» в несколько операционных систем. Однако в своем нынешнем виде малварь предназначена для атаки только ОС Windows. (Да что ж такое!)
Возможности Luca Stealer
Специалисты по изучению разного рода зловредов из фирмы Cyble назвали вредонос «Luca Stealer». Изучив образцы, «безопасники» утверждают, что данный зловред оснащен стандартными возможностями для этого типа вредоносного ПО.
Попав на устройство малварь пытается украсть данные из тридцати веб-браузеров на основе Chromium. В целевых объектах вредоносный скрипт «обучен» искать, а после передавать на управляющий сервер, данные кредитных карт, данные аутентификации и файлы cookie.
Зловред также нацелен на ряд «холодных» криптовалют и «горячих» браузерных аддонов кошельков учетные записи Steam, токены Discord, Ubisoft Play и многое другое.
Однако подробнее изучив Luca Stealer, специалисты-безопасники выяснили, что вредонос все-таки выделяется на фоне других похитителей информации. Помимо кражи стандартных пар логин-пароль и «печенек», Luca Stealer ищет в надстройках браузера менеджеры паролей. Его «интересуют», локально хранимые данные, 17 приложений такого рода.
Еще пара «фишек» стелс-похитителя информации:
- захват скриншотов и сохранение их в виде файла .png,
- выполнение «whoami» для профилирования хост-системы
Все «нажитое непосильным трудом» малварь отправляет своим операторам-злодеям.
Удивительно, но в Luca Stealer специалисты не нашли никакого клипера — функции, используемой для изменения содержимого буфера обмена с последующим захватом / подменой криптовалютных транзакций и отправки «битков» на кошельки злодеев.
Эксфильтрация украденных данных осуществляется стандартно с помощью веб-перехватчиков Discord или ботов Telegram, в зависимости от размера отправляемого файла. Для больших журналов украденных данных вредонос будет использовать веб-перехватчик Discord.
Украденные данные упаковываются в ZIP-архив, сопровождаемый кратким изложением того, что включено, поэтому оператор может оценить объем добычи с первого взгляда.
Должны ли мы беспокоиться?
В настоящее время специалистами из Cyble обнаружено по крайней мере 25 экземпляров Luca Stealer, используемых в дикой природе. И пока не понятно насколько широкое распространение получит данный зловред в среде цифровых злодеев.
Тем не менее, тот факт, что его исходный код предлагается бесплатно, в то время как большинство похожего ПО «выдаются» во временное пользование по ежемесячной подписке, может послужить драйвером и в данном сегменте вредоносного ПО можно ожидать всплеск активности.
Наконец, stealer написан на Rust, а это означает, что портировать его на Linux или macOS не составит труда. И при наличии исходного кода, это может сделать любой, мало-мальски технически подкованный, злодей.
Windows-юзерам готовность №1, всем остальным приготовиться
Опытные пользователи уже знают, а начинающим хочется напомнить, что каким бы ни был всякий новый вредонос, для того чтобы он стал «приносить пользу» своим хозяевам-злодеям, ему нужно попасть на устройство жертвы. Поэтому:
- Посещайте только проверенные сайты, используйте для этого защищенный протокол https
- Скачивайте программы с сайта разработчика оригинального ПО
- Неизвестные ссылки проверяйте на VirusTotal
- Держите вирусные записи защитной системы в актуальном состоянии
- Думайте прежде, чем что-то нажать или скачать в Сети