Trellix выявил хитроумный Java-инструмент для кражи данных через бота Discord

ИБ-компания Trellix обнаружила новый сложный инструмент для кражи информации на основе Java, который использует бота Discord для кражи конфиденциальных данных со скомпрометированных хостов.

Вредоносное ПО под названием NS-STEALER распространяется через ZIP-архивы, маскируясь под взломанное программное обеспечение. ZIP-файл содержит вредоносный файл ярлыка Windows («Loader GAYve»), действующий как канал для развертывания вредоносного JAR-файла, который сначала создает папку с именем «NS-<11-digit_random_number>» для хранения собранных данных.

Содержание архива

В созданную папку вредоносная программа впоследствии сохраняет скриншоты, cookie-файлы, учетные данные и данные автозаполнения, украденные из более чем 20 веб-браузеров, системную информацию, список установленных программ, токены Discord, данные сеансов Steam и Telegram. Собранная информация затем передается на канал бота Discord.

Цепочка заражения

Исследователи отметили, что сложная функция сбора конфиденциальной информации и использование X509Certificate для поддержки аутентификации, позволяет вредоносному ПО быстро украсть информацию из систем-жертв с помощью среды выполнения Java. Бот-канал Discord в качестве EventListener для получения отфильтрованных данных также эффективен в рамках кампании.