Cybersicherheitsforscher haben einen neuen, auf Java basierenden „sophisticated“ Information-Stealer entdeckt, der einen Discord-Bot verwendet, um sensible Daten von kompromittierten Hosts zu exfiltrieren. Der Schadcode, namens NS-STEALER, wird über ZIP-Archive verbreitet, die sich als gecrackte Software ausgeben, berichtet der Sicherheitsforscher Gurumoorthi Ramanathan von Trellix in einer Analyse, die letzte Woche veröffentlicht wurde. Die ZIP-Datei enthält eine betrügerische Windows-Verknüpfungsdatei („Loader GAYve“), die als Kanal für das Bereitstellen einer bösartigen JAR-Datei dient. Diese erstellt zunächst einen Ordner namens „NS-<11-stellige_zufällige_Zahl>„, in dem die erfassten Daten gespeichert werden.
In diesem Ordner speichert der Schadcode dann Screenshots, Cookies, Anmeldedaten und automatisch ausgefüllte Daten, die von über zwei Dutzend Webbrowsern gestohlen wurden, Systeminformationen, eine Liste installierter Programme, Discord-Token sowie Steam- und Telegramm-Sitzungsdaten. Die erfassten Informationen werden dann an einen Discord-Bot-Kanal exfiltriert. „Angesichts der hochsophistizierten Funktion des Sammelns sensibler Informationen und der Verwendung von X509Certificate zur Unterstützung der Authentifizierung kann dieser Schadcode Informationen aus den Opfersystemen schnell stehlen, sofern [Java Runtime Environment] vorhanden ist“, sagt Ramanathan. „Der Discord-Bot-Kanal als EventListener zum Empfangen von exfiltrierten Daten ist auch kosteneffektiv.“ Diese Entwicklung erfolgt auf dem Hintergrund, dass die Akteure hinter dem Chaes-Malware (auch bekannt als Chae$) ein Update (Version 4.1) für den Information-Stealer veröffentlicht haben, das Verbesserungen an seinem Chronod-Modul enthält. Dieses ist dafür verantwortlich, Anmeldedaten, die in Webbrowsern eingegeben werden, zu stehlen und Kryptotransaktionen abzufangen.
