ИБ-компания Trellix обнаружилановый сложный инструмент для кражи информации на основе Java, который использует бота Discord для кражи конфиденциальных данных со скомпрометированных хостов.
Вредоносное ПО под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение. ZIP-файл содержит вредоносный файл ярлыка Windows (“Loader GAYve”), действующий как канал для развертывания вредоносного JAR-файла, который сначала создает папку с именем “NS-” для хранения собранных данных.
Содержание архива
В созданную папку вредоносная программа впоследствии сохраняет скриншоты, cookie-файлы, учетные данные и данные автозаполнения, украденные из более чем 20 веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram. Собранная информация затем передается на канал бота Discord.
Цепочка заражения
Исследователи отметили, что сложная функция сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, позволяет вредоносному ПО быстро украсть информацию из систем-жертв с помощью среды выполнения Java. Бот-канал Discord в качестве EventListener для получения отфильтрованных данных также эффективен в рамках кампании.