Изображение: recraft
Эксперты из исследовательского подразделения Unit 42 компании Palo Alto Networks сообщили о появлении новой версии вредоносного программного обеспечения. Речь идёт об инфостилере под названием Gremlin, впервые замеченном в марте 2025 года. Специалисты подчеркнули, что данная угроза распространяется в основном через Telegram, а точкой старта послужил канал под именем CoderSharp, на котором разработчики активно рекламируют своё творение.
Gremlin представляет собой инфостилер, написанный на языке программирования C#. Специалисты отметили, что он может извлекать личную информацию с заражённого устройства, отправляя похищенные данные на собственный веб-сервер. Разработка всё ещё находится на стадии совершенствования, однако уже сейчас она способна получать доступ к широкому перечню программ на компьютерах с операционной системой Windows. В их числе — браузеры, буфер обмена, локальные накопители и другие источники конфиденциальной информации.
Согласно докладу исследователей, вредонос способен обойти защиту Chrome cookie версии V20, что позволяет ему собирать и передавать данные без загрузки дополнительных компонентов из Интернета. В отчёте подчёркивается, что Gremlin собирает большой объём информации: от скриншотов и содержимого буфера обмена до технических характеристик устройства. Также в поле его интересов — файлы cookie, логины и пароли из браузеров на базе Chromium и Gecko, данные криптокошельков, а также учётные записи сервисов FTP, VPN, Steam, Discord и Telegram.
Специалисты Palo Alto Networks обратили внимание, что после завершения сбора информации Gremlin создаёт на заражённой системе каталог в LOCAL_APP_DATA, куда помещаются текстовые файлы с похищенными данными. Далее эти файлы объединяются в архив ZIP, который отправляется на сервер по адресу hxxp[:]//207.244.199[.]46/index.php. Кроме того, при помощи Telegram-бота и встроенного API-ключа данные передаются злоумышленникам напрямую через Telegram.
Как сообщили в Unit 42, создатели вредоносного ПО заявляют, что им уже удалось передать на сервер по адресу 207.244.199[.]46 значительные объёмы украденной информации. Этот сервер представляет собой специальную веб-платформу, входящую в комплект для продажи Gremlin. Там размещены 14 ZIP-архивов с уже похищенными данными, причём посетителям предлагается загрузить или удалить эти материалы по своему усмотрению.
Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют в Telegram новый инфостилер Gremlin".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.