Новый способ кражи данных: Zaraza bot крадёт пароли из браузеров с помощью Telegram

Специалисты ИБ-компании Uptycs обнаружили новое вредоносное ПО для кражи учетных данных под названием Zaraza bot, которое продаётся в Telegram и использует мессенджер в качестве сервера управления и контроля (С2, C&C).

Zaraza bot нацелен на большое количество веб-браузеров и активно распространяется на популярном среди киберпреступников Telegram-канале. Как только вредоносная программа заражает компьютер жертвы, она извлекает конфиденциальные данные и отправляет их Telegram-боту, контролируемому злоумышленником.

Zaraza bot представляет собой 64-битный двоичный файл, скомпилированный с помощью C#. При заражении вредоносное ПО извлекает все возможные учетные данные, хранящиеся на компьютере жертвы. В частности, стилер нацелен на 38 различными веб-браузеров, в том числе Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi и Яндекс. Стилер также способен делать скриншоты активного окна.

Отметим, что веб-браузер хранит в системе учетные данные в двух зашифрованных форматах (в новых версиях браузера используется подпись пароля v80, а в более старых - функция Windows DPAPI), но Zaraza bot способен расшифровывать оба формата.

Затем Zaraza bot извлекает учетные данные из онлайн-банка, криптовалютных кошельков, электронной почты и других сайтов. Украденные данные хакеры могут использовать дальше в злонамеренных целях, таких как кража личных данных, финансовое мошенничество и несанкционированный доступ к личным и корпоративным учетным записям.

Цепочка заражения Zaraza bot

По данным Uptycs, Zaraza bot предлагается другим киберпреступникам в качестве коммерческого инструмента за подписку. Стоит отметить, что доступ к Telegram-боту для оформления подписки ограничен. Из-за этого исследовательская группа Uptycs не смогла взаимодействовать с ботом.

Telegram-бот Zaraza bot

Анализируя HTTPS-пакеты, эксперты обнаружили, что Zaraza bot перехватил данные, содержащие никнейм и информацию об учетной записи российского пользователя. Это указывает на то, что российский пользователь связан либо с администратором бота, либо с киберпреступником, использующим Zaraza bot.

Сетевой (HTTPS) трафик

В настоящее время неясно, как распространяется Zaraza bot, но раньше киберпреступники обычно использовали 2 метода распространения: вредоносная реклама и социальная инженерия. Чтобы снизить риски атак стилеров, пользователям рекомендуется использовать двухфакторную аутентификацию (2FA) и применять обновления ПО и ОС по мере их появления.

Выводы Uptycs были получены после того, как группа Microsoft Threat Intelligence заявила о новой фишинговой кампании , нацеленной на бухгалтерские фирмы и налоговые органы с помощью загрузчика GuLoader, который устанавливает RAT-троян Remcos RAT, позволяющий получить первоначальный доступ к корпоративным сетям.