В мире киберугроз появилась новая вредоносная программа под названием PupkinStealer, разработанная с использованием C# и .NET framework. Основная цель данной программы — кража конфиденциальной информации пользователей через API Telegram Bot. В данной статье мы рассмотрим ключевые особенности и механизмы работы PupkinStealer.
Что такое PupkinStealer?
PupkinStealer нацелен на извлечение определенных типов данных, среди которых:
- Сохраненные учетные данные для входа в систему из браузеров на базе Chromium (Chrome, Edge, Opera, Opera GX, Vivaldi);
- Личные документы с рабочего стола пользователя;
- Информация о сеансах из приложений для обмена сообщениями (Telegram, Discord);
- Скриншоты рабочего стола.
Механизм работы
Вредоносная программа запускается с несколькими фоновыми задачами, которые направлены на сбор и эксфильтрацию данных. Основные шаги работы PupkinStealer включают:
- Извлечение и расшифровка учетных данных из браузеров с использованием ключей дешифрования, хранящихся в локальных файлах.
- Создание временных каталогов для хранения захваченных данных, что способствует снижению вероятности их обнаружения.
- Сбор файлов с расширениями .pdf, .txt, .sql, .jpg, .png напрямую с рабочего стола жертвы.
- Перехват сеансов из Telegram, копируя файлы из папки tdata.
- Извлечение токенов аутентификации из базы данных Discord leveldb.
- Сбор скриншотов рабочего стола для фильтрации конфиденциальной информации.
Отправка данных
Все собранные данные сжимаются в ZIP-архив, который содержит:
- Имя пользователя жертвы;
- Общедоступный IP-адрес;
- Идентификатор безопасности Windows (SID).
Затем ZIP-файл отправляется на удалённый сервер, контролируемый злоумышленником, через запрос API с помощью Telegram Bot API, что позволяет злоумышленникам легко организовывать и отслеживать свои цели.
Происхождение и тенденции
PupkinStealer впервые был замечен в апреле 2025 года. Судя по лингвистическим маркерам в коде и метаданных чата, разработчики программы известны под псевдонимом Ardent и, вероятно, имеют российское происхождение. Этот продукт выделяется среди вредоносного ПО благодаря своей простоте и высокоэффективности, что делает его доступным для менее опытных киберпреступников.
Рекомендации по кибербезопасности
Учитывая угрозу, исходящую от PupkinStealer, пользователям настоятельно рекомендуется:
- Проявлять осторожность при работе с ненадежными файлами и ссылками;
- Использовать надежные антивирусные решения;
- Повышать бдительность в отношении методов социальной инженерии.
В условиях продолжающегося роста угроз кибербезопасности, знание о таких вредоносных программах, как PupkinStealer, становится критически важным для защиты личной и корпоративной информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ PupkinStealer: угроза кражи данных через Telegram".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.