Inf0s3c Stealer

Az Inf0s3c Stealer nevű, Python-alapú kártékony program egy kifinomult adatgyűjtő, amelyet Windows rendszereken végrehajtott információlopásra terveztek. A malware 64 bites PE fájlként terjed, UPX tömörítéssel és PyInstaller csomagolással rejtve a Python kódot és erőforrásokat. A futtatás után részletes rendszergazdai információkat gyűjt be, képernyőképeket és webkamera-képeket készít, majd a felhasználói mappákból származó fájlokat (például Asztal, Dokumentumok, Letöltések) egy jelszóval védett RAR archívumba csomagolja. Az így begyűjtött adatokat egy Discord csatornára küldi fel automatikusan, egy „Blank Grabber” nevű webhook vagy egy bot segítségével.

A fenyegetés technikai részletei között szerepel a különféle Windows API-k hívása a fájlműveletekhez, jogosultságellenőrzésekhez, memória-kezeléshez és rendszerbeállítások manipulálásához. A malware többféle érzékeny adatot céloz meg: mentett jelszavakat, sütiket, böngészési előzményeket, kriptotárcákat, valamint Discord- és Telegram-hitelesítési adatokat. A tartós jelenlétet automatikus indítással és opcionális UAC megkerüléssel éri el, továbbá képes önmagát törölni a nyomok eltüntetése érdekében. Emellett virtuális gép-ellenőrzést és antivírus-frissítések blokkolására is képes, míg méretének mesterséges növelésével próbálja megkerülni az egyszerűbb észlelési módszereket.

(forrás)