Uptycs 的研究人員近日發現了一個新的惡意軟件構建工具 KurayStealer,被用于出售給犯罪分子使其更方便構建惡意軟件。KurayStealer 是使用 Python 編寫的,提供密碼竊取和屏幕截圖功能,通過 webhook 將竊密數據發送到攻擊者的 Discord 頻道。KurayStealer 有兩個版本:免費版本與 VIP 版本。根據各方情報匯總,該惡意軟件構建工具的創建者應該是西班牙裔。
發現 KurayStealer
Uptycs 威脅情報系統在 2022 年 4 月 27 日檢測到了 KurayStealer 的第一個樣本。根據分析與研究,KurayStealer 于 2022 年 4 月 23 日通過名為 Portu的 Youtube 和 Discord 頻道首次發布廣告宣傳。
竊密行動
最早被發現的 KurayStealer 名為 c2.py。使用 Python 編寫,可以在 Python 3.0 下運行。執行后,KurayStealer 會使用 wmic csproduct get UUID來檢查 UUID:
UUID 檢查
根據 UUID 與 pastebin 中的 UUID 列表進行比對,確定用戶是免費用戶還是 VIP 用戶:
構建工具
根據用戶類別與 webhook 的輸入,KurayStealer 會在機器中釋放名為 DualMTS.py或者 DualMTS_VIP.py的文件。以下都使用免費版本演示 KurayStealer 的功能。
DualMTS.py 嘗試將 BetterDiscord 中的字符串 api/webhooks替換為 Kisses,以繞過 BetterDiscord 保護發送 webhook。
繞過 BetterDiscord 保護
接著,DualMTS.py 嘗試使用 python 模塊 pyautogui進行屏幕截圖。除此之外,還會通過 ipinfo 獲取機器所在位置。
屏幕截圖
竊取 21 個軟件的密碼與 Token,包括 Discord、Lightcord、Discord PTB、Opera、Opera GX、Amigo、Torch、Kometa、Orbitum、CentBrowser、7Star、Sputnik、Vivaldi、Chrome SxS、Chrome、 Epic Privacy Browser、Microsoft Edge、Uran、Yandex、Brave、Iridium。
KurayStealer 在收集了計算機名稱、地理位置、IP 地址、密碼憑據以及屏幕截圖后,通過 webhook 發送到 Discord:
憑據發送
威脅情報
分析了代碼后,可以找到 Suleymansha & Portu 的編寫聲明。但是在 GitHub 等多個公開倉庫中可以發現類似的聲明,這一聲明并不能說明作者身份。
KurayStelaer 提供了多個竊密程序作為組件使用,并且使用 Discord 作為 C&C 的信道來收集竊密數據。代碼中還包含有攻擊者的 Discord 頻道邀請鏈接,該頻道介紹了 KurayStelaer 的 VIP 版本信息。
VIP 版本
查看頻道信息,Discord 用戶 portu在個人資料中提供了 Discord 鏈接、Shoppy 鏈接和 YouTube 鏈接。
用戶信息
通過 YouTube 發現用戶位于西班牙,用戶也上傳了 KurayStealer 的演示視頻。
YouTube 信息
而在 Shoppy 中則顯示了攻擊者的其他攻擊工具與商業產品。
Shoppy 信息
在撰寫本文時,攻擊者已經刪除了 YouTube 視頻。攻擊者的 Discord 頻道在 2022 年 4 月 26 日發布了有關正在開發勒索軟件的公告。
結論
根據情況分析,研究人員認為攻擊者仍然會更新竊密程序甚至是其他類型的惡意軟件。
IOC
8535c08d7e637219470c701599b5de4b85f082c446b4d12c718fa780e7535f07 (c2.py)
09844d550c91a834badeb1211383859214e65f93d54d6cb36161d58c84c49fab (DualMTS.py)
30b61be0f8d2a8d32a38b8dfdc795acc0fac4c60efd0459cb3a5a8e7ddb2a1c0 (C2.exe)
參考來源
Uptycs
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。