NS-STEALER: Nuovo Malware Java Utilizza Bot Discord per Esfiltrare Dati Sensibili dai Browser
Ricercatori di sicurezza informatica hanno rivelato la presenza di un nuovo e sofisticato informazioni stealer chiamato NS-STEALER, basato su Java e capace di utilizzare i bot di Discord per esfiltrare dati sensibili dai browser delle vittime.
Il malware si diffonde attraverso archivi ZIP camuffati da software crackato, come spiegato nell’analisi di Gurumoorthi Ramanathan, ricercatore di sicurezza presso Trellix.
Il file ZIP contiene un file shortcut Windows rogue chiamato “Loader GAYve”, che agisce come canale per distribuire un file JAR dannoso.
Quest’ultimo crea una cartella denominata “NS-<11-digit_random_number>” per archiviare i dati raccolti. In questa cartella, NS-STEALER salva screenshot, cookies, credenziali, dati di autofill e informazioni rubate da oltre due dozzine di browser web, insieme a dettagli del sistema, elenco di programmi installati, token di Discord e dati di sessione di Steam e Telegram. Le informazioni acquisite vengono esfiltrate su un canale di bot di Discord, rendendo il processo economico e discreto.
Ramanathan sottolinea l’alta sofisticazione del malware nella raccolta di informazioni sensibili e l’uso di X509Certificate per supportare l’autenticazione. Il malware è in grado di rubare rapidamente informazioni dai sistemi delle vittime, sfruttando Java Runtime Environment.
Questo sviluppo avviene contemporaneamente all’aggiornamento (versione 4.1) del malware Chaes, noto anche come Chae$, con miglioramenti al modulo Chronod, responsabile del furto di credenziali di accesso e dell’intercettazione di transazioni crittate.
Le catene di infezione distribuiscono il malware attraverso lusinghe via email a tema legale in portoghese, truffando i destinatari per attivare Chae$ 4.1.
In modo interessante, gli sviluppatori hanno lasciato messaggi di gratitudine al ricercatore di sicurezza Arnold Osipov, evidenziando il loro apprezzamento per il suo contributo nel migliorare il loro “software” direttamente nel codice sorgente.