De malware “Angry Stealer” wordt op social media platforms verkocht. Het wordt ook aangeboden op berichtenapps zoals Telegram. De rebranded malware maakt het mogelijk om Telegram API te misbruiken om data te stelen.
Een vernieuwde versie van Rage Stealer wordt online verkocht
Geïdentificeerd door het CYFIRMA-onderzoeksteam, is de Angry Stealer-malware in wezen een “info stealer”-pakket. Het is verontrustend om op te merken dat de malware een handelswaar lijkt te zijn geworden.
Dreigingsactoren adverteren de beschikbaarheid van de malware op meerdere sociale mediaplatforms, waaronder Telegram. Dit vergroot het aantal potentiële aanvallers en de reikwijdte van de malware aanzienlijk.
#CYFIRMAonderzoek onlangs geïdentificeerd een #dropperbinair die een inzet uitvoert #informatiediefstal #malware bekend als #BozeStealereen vernieuwde versie van #woedestealer geadverteerd op een #Telegram kanaal.
Een uitgebreide analyse van Angry Stealer: Rage Stealer in een nieuwe vermomming – CYFIRMA— CYFIRMA-onderzoek (@CyfirmaR) 26 augustus 2024
Angry Stealer richt zich naar verluidt op een breed scala aan gevoelige informatiedatasets. Het gebruikt geavanceerde technieken en rebrandingtactieken. De aanvalsstrategie en -processen lijken op die van de Rage Stealer-malware.
Volgens het security research team van CYFIRMA zou Angry Stealer een rebranded versie van de Rage Stealer malware kunnen zijn. Dit komt doordat er veel overeenkomsten zijn in de code, features, functies en zelfs gedrag.
Hoe steelt de Angry Stealer-malware gegevens?
Angry Stealer heeft twee hoofdcomponenten: “Stepasha.exe” en “MotherRussia.exe.” De makers hebben de payload gemaakt met behulp van .Net als een 32-bits Win32-uitvoerbaar bestand.
Stepasha.exe probeert gevoelige informatie te stelen, zoals wachtwoorden, cookies, autofill-informatie, cryptocurrency wallet-gegevens, systeeminformatie, VPN-referenties, Discord-tokens en meer. Deze gestolen gegevens worden vervolgens geladen op Telegram’s API’s met behulp van geïntegreerde authenticatiereferenties. Deze uitvoerbare omzeilt zelfs SSL-validatie om succesvolle data-exfiltratie te garanderen.
MotherRussia.exe is daarentegen ontworpen om nieuwe paden te openen en meer slachtoffers te vangen. Met andere woorden, dit uitvoerbare bestand kan aangepaste malware genereren. Het beveiligingsonderzoeksteam suggereert dat dit programma Remote Desktop-sessies kan openen om zich te verspreiden.
2024&08&23 BOZE STEALER (variant van woede-stealer) Telegram rat. Voorbeelden https://t.co/P9WNXf8oei
— cybrmonk (@cybr_monk) 2 september 2024
Over het algemeen begint Angry Stealer na een succesvolle infectie met een systematische en grondige verzameling van gevoelige gegevens. Het lijkt erop dat het populaire webbrowsers aanvalt. Dit kan komen doordat browsers een favoriete locatie zijn geworden om wachtwoorden en inloggegevens voor meerdere onlinediensten op te slaan.
Het onderzoeksteam heeft waargenomen dat de Angry Stealer-malware meerdere browsers tegelijk aanvalt. Het probeert voortdurend wachtwoorden, creditcardgegevens, cookies, autofill-gegevens, bladwijzers, actieve processen, schermafbeeldingen en systeemspecificaties te extraheren.
De Angry Stealer-malware neemt voorzorgsmaatregelen om detectie te ontwijken. Het geeft prioriteit aan belangrijke mappen en documenten die mogelijk gevoelige informatie bevatten. Bovendien verzamelt de malware zelfs het IP-adres, de geografische locatie en netwerkgerelateerde gegevens van het slachtoffer.
Om deze malware te bestrijden, zouden systeembeheerders een gelaagde beveiligingsaanpak moeten hanteren. Het goed scheiden van netwerken kan de laterale beweging van de malware beperken. De malware lijkt zich te verspreiden via meerdere technieken, grotendeels door menselijke fouten, toezicht en nalatigheid. Daarom is het implementeren van robuuste beveiligingsprogramma’s en deze up-to-date houden van cruciaal belang om de Angry Stealer-malware te bestrijden.
