Adatokat lop, beleértve belépési azonosítókat, böngészési előzményeket, könyvjelzőket és még telepített játékokat is.
A kiberbiztonsági kutatók egy új, “Meduza Stealer” nevű Windows-alapú rosszindulatú szoftvert fedeztek fel, amely haladó adatlopási technikákkal rendelkezik és olyan kialakítással rendelkezik, amely lehetővé teszi a felderítés elkerülését. Az Uptycs Threat Research csapata a sötét webes fórumokat és a Telegram csatornákat figyelve bukkant rá a rosszindulatú szoftverre.
A “Meduza Stealer” elnevezést kapta a kutatók által, az alkotója, a Meduza néven ismert fenyegetési szereplő után.
“A rejtélyes ‘Meduza’ néven ismert személy által létrehozott ez a rosszindulatú szoftver kifejezetten a Windows felhasználókra és szervezetekre irányul, jelenleg csak tíz konkrét országot kímélve meg” – írta az Uptycs.
Ezek az országok feltűnő módon mind földrajzilag és politikailag közel vannak Oroszországhoz.
“A Meduza Stealernek egyetlen célja van: átfogó adatlopás. Ellopja a felhasználók böngészési tevékenységét és széles körű böngészővel kapcsolatos adatokat nyer ki.”
A kutatók figyelmeztettek, hogy még jelszókezelők, kriptopénztárca-bővítmények és kétfaktoros azonosítás (2FA) bővítmények is veszélyben vannak.
A Meduza Stealer alkotója az új rosszindulatú szoftvert olyan módon népszerűsíti, hogy bemutatja annak képességét, hogy hatékonyan kikerülje a közismert víruskereső szoftverek felderítését.
A fő cél látszólag az adatlopás.
Az Uptycs jelentése szerint a Meduza Stealer képes adatokat gyűjteni 19 jelszókezelő alkalmazásból, 76 kriptopénztárcából és 95 webböngészőből, valamint olyan alkalmazásokból, mint a Discord és a Steam.
A gyűjtött adatok között szerepelnek belépési azonosítók, böngészési előzmények, könyvjelzők, sőt, telepített játékok listája is.
Emellett a rosszindulatú szoftver képes rendszerspecifikus információkat gyűjteni a fertőzött eszközökről, ideértve a számítógép nevét, a rendszer felépítését, a CPU specifikációit, a GPU információit, a földrajzi helyzetet, a hardverazonosító részleteit, a nyilvános IP-címet, a RAM specifikációit, a képernyőfelbontást és az időzónát.
Fenyegetési útvonal
A sikeresen bejutott számítógépen a rosszindulatú szoftver először földrajzi helyzet-ellenőrzést végez.
Ha az ellenőrzés azt mutatja, hogy a célszemély Oroszországban, Kazahsztánban, Fehéroroszországban, Grúziában, Türkmenisztánban, Üzbegisztánban, Örményországban, Kirgizisztánban, Moldovában vagy Tádzsikisztánban tartózkodik, a szoftver leáll.
Ha az elhelyezkedés nem esik az említett országok közé, a rosszindulatú szoftver ellenőrzi az támadó szerver elérhetőségét. Ha a szerver nem érhető el, a szoftver leállítja a tevékenységét.
Ha mindkét feltétel teljesül, a Meduza Stealer folytatja az adatgyűjtést, majd feltölti azokat az támadó szerverre.
Az Uptycs kutatói szerint a Meduza Stealer adminisztrátora “kifinomult marketingstratégiákat” alkalmazott a rosszindulatú szoftver népszerűsítésére különböző kiberbűnözői piactereken és fórumokon.
A lehetséges vásárlók csábítására az admin egy dedikált webes panelen keresztül hozzáférést kínál az ellopott adatokhoz.
Különböző előfizetési lehetőségek állnak a leendő vásárlók rendelkezésére, beleértve egy havi tervet 199 dollárért, egy háromhavi tervet 399 dollárért vagy egy élettartam tervet.
Miután a felhasználó előfizet, teljes hozzáférést kap a Meduza Stealer webes panelhez.
“Ez a funkció lehetővé teszi az előfizetők számára, hogy közvetlenül letöltsék vagy töröljék az ellopott adatokat a weboldalról, ami rendkívüli szintű ellenőrzést biztosít számukra az illegálisan szerzett információik felett” – írja az Uptycs.
Súlyos következmények
A Meduza Stealer figyelmen kívül hagyása súlyos következményekkel járhat az érintett személyek és szervezetek számára.
“Bár a MedA Meduza Stealer nevű rosszindulatú szoftver súlyos következményekkel járhat az érintett egyének és szervezetek számára, ezért az Uptycs óvintézkedéseket javasol annak elkerülése érdekében.
Ezek közé tartozik a számítógépek és alkalmazások rendszeres frissítése, óvatosság a fájlok letöltésekor, erős és egyedi jelszavak használata, valamint gyanús böngészőbővítmények telepítésének elkerülése.
Az ilyen gyakorlatok bevezetése javíthatja a kiberbiztonságot és csökkentheti a Meduza Stealer áldozatává válás valószínűségét.
Vélemény, hozzászólás?