Katz stealer
Katz infostealer MaaS (Malware-as-a-Service) modellként működik. A központi szolgáltatás egy webes kezelőfelülettel rendelkezik, ahol előfizetők – akik akár havonta 100 USD-tól hozzáférhetnek – testreszabott payloadokat generálhatnak, a lopott adatokat vizualizálhatják, listázhatják és exportálhatják, egyenesen zsarolási célokra.
A fertőzési lánc az áldozatok obfuszkált JavaScripttel ellátott .gz atömörített fálokat töltenek le phishing emailből, amely PowerShellen keresztül rejti el az elsődleges kártékony kódot egy kép fájl steganográfiás tartalmában – a veszély teljesen memóriaalapú és fájl nélküli betöltéssel működik. Ez a megoldás jelentősen csökkenti a felfedezés esélyét statikus vagy viselkedésalapú védelmi rendszerek által.
A rendszer továbbra is szigorú geofencing-et alkalmaz, kizárva például Oroszországot és más FÁK-országokat, észleli a VM és sandbox környezeteket, megakadályozza az elemzői hozzáférést. Ezt követően a payload UAC-kikerülést valósít meg a cmstp.exe használatával, majd Scheduled Task segítségével rendszerszintű (SYSTEM) jogosultságot szerez, a végső kód pedig MSBuild.exe memóriájába injektálódik.
A lopás kiterjed a teljes rendszerre: a legtöbb böngésző (Chrome, Edge, Firefox, Brave stb.) jelszavait, cookie-jait, űrlapadatait, kripto-tárcák privát kulcsait (például Bitcoin, Ethereum, Monero, Exodus) és mobil tokenjeit is ellopja, emellett átveszi üzenetszolgáltatók (Discord, Telegram) session-jeit és VPN/FTP kliens bejelentkezési adatait. Állítható képernyőkép- és billentyűmonitorozási funkcióval is rendelkezik, különösen kriptovalutához kötött tevékenység esetén.
A lopott adatokat a háttérrendszer rel paneleden keresztül gyűjti és tárolja, amelyek több formátumban is exportálhatók – IP kapcsolat és HTTP POST csatorna segítségével. A feltöltött kapcsolatok több keménykódolt C2 IP-címet és domént is használnak.
Végül a Katz Stealer takarítást is végez, letörli a memóriát, naplókat és futó processzeket, hogy minimalizálja a detektálási felületet.
