Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Katz Stealer: анализ сложной угрозы кражи учетных данных

3
3 мин
Современные киберугрозы становятся все более изощренными, что требует от специалистов по кибербезопасности непрерывного анализа их методов и тактик. Одним из ярких представителей нового поколения вредоносов является Katz Stealer — сложная вредоносная программа, распространяемая как Malware-as-a-Service, предназначенная для кражи конфиденциальных данных из широкого спектра приложений и браузеров. Katz Stealer использует многогранный подход к заражению пользователей. Основные векторы атаки включают: При заражении начинается сложная цепочка, которая включает: Katz Stealer фокусируется на извлечении широчайшего спектра конфиденциальной информации. Среди основных целей — популярные веб-браузеры и приложения: Особое внимание вызывает способность вредоноса модифицировать встроенный JavaScript в приложениях типа Discord, что позволяет сохранять скрытность при выполнении вредоносных действий. Помимо украденных учетных данных, Katz Stealer производит сбор сетевой разведывательной информации, вкл
Оглавление
Источник: www.nextron-systems.com
Источник: www.nextron-systems.com

Современные киберугрозы становятся все более изощренными, что требует от специалистов по кибербезопасности непрерывного анализа их методов и тактик. Одним из ярких представителей нового поколения вредоносов является Katz Stealer — сложная вредоносная программа, распространяемая как Malware-as-a-Service, предназначенная для кражи конфиденциальных данных из широкого спектра приложений и браузеров.

Методы заражения и этапы атаки

Katz Stealer использует многогранный подход к заражению пользователей. Основные векторы атаки включают:

  • фишинговые электронные письма;
  • распространение через обманное программное обеспечение;
  • манипулирование результатами поиска для побуждения пользователя перейти по вредоносной ссылке.

При заражении начинается сложная цепочка, которая включает:

  • вредоносный JavaScript, скрытый в сжатых файлах формата gzip;
  • запуск запутанного скрипта PowerShell, маскирующего свое истинное назначение с помощью base64 кодирования;
  • загрузку и выполнение .NET загрузчика, внедряющего компонент stealer в легитимные системные процессы.

Цели и методы кражи данных

Katz Stealer фокусируется на извлечении широчайшего спектра конфиденциальной информации. Среди основных целей — популярные веб-браузеры и приложения:

  • браузеры Chrome, Edge, Brave, Firefox, где украдываются сохранённые пароли, cookies и токены сеанса;
  • приложения-кошельки и почтовые клиенты, включая Outlook;
  • платформы обмена сообщениями, такие как Discord и Telegram.

Особое внимание вызывает способность вредоноса модифицировать встроенный JavaScript в приложениях типа Discord, что позволяет сохранять скрытность при выполнении вредоносных действий.

Помимо украденных учетных данных, Katz Stealer производит сбор сетевой разведывательной информации, включая:

  • учетные данные Wi-Fi;
  • настройки и конфигурации VPN.

Механизмы обхода обнаружения

Одним из ключевых факторов, делающих Katz Stealer особенно опасным, является его развитая система уклонения от детектирования:

  • использование геолокационного фильтра, ограничивающего исполнение вредоносного кода в определённых регионах — программа завершает работу при обнаружении систем с языковыми настройками и раскладками клавиатуры стран СНГ;
  • обнаружение и игнорирование виртуальных машин, что препятствует анализу и исследованию в изолированных средах;
  • техника «опустошения» (process hollowing): внедрение вредоносной полезной нагрузки в доверенные процессы, такие как MSBuild, для обхода систем обнаружения и контроля;
  • постоянное установление TCP-соединения с C2 сервером с использованием уникального User-Agent, что облегчает загрузку дополнительных модулей и эксфильтрацию данных.

Сферы сбора информации и эксфильтрация

Помимо учётных данных, вредонос также способен захватывать:

  • информацию о кредитных картах;
  • файлы конфигураций различных приложений;
  • скриншоты с заражённой системы.

Собранные данные передаются злоумышленникам через защищённое соединение, что значительно осложняет их перехват.

Детектирование и предотвращение атак

Для выявления и предотвращения заражения Katz Stealer используются несколько подходов:

  • мониторинг аномальных исходящих сетевых подключений;
  • поиск известных имен файлов, таких как received_dll.dll;
  • анализ активности процессов, связанных с обходом контроля учётных записей (cmstp.exe и другие аналоги).

Кроме того, разработано множество открытых правил YARA и Sigma, позволяющих эффективно распознавать данный вредоносный код и его аналоги на разных этапах атаки.

Заключение

Katz Stealer представляет собой яркий пример современной, комплексной киберугрозы с продвинутыми возможностями по сбору данных и обходу защиты. В условиях постоянного совершенствования вредоносного ПО именно комплексный подход к мониторингу, своевременному обновлению средств защиты и применению новых методов анализа трафика и процессов становится залогом эффективной защиты от подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Katz Stealer: анализ сложной угрозы кражи учетных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.