Un nuovo malware chiamato Stealc è emerso sul dark web e sta guadagnando popolarità grazie alle sue aggressive capacità di furto e alle somiglianze con malware dello stesso tipo come Vidar, Raccoon, Mars e Redline. I ricercatori della società di intelligence sulle minacce informatiche SEKOIA hanno individuato il nuovo ceppo a gennaio e hanno notato che ha iniziato a guadagnare popolarità ad inizio febbraio.
Stealc è stato pubblicizzato su forum di hacking da un utente chiamato “Plymouth”, che ha presentato il malware come un pezzo di software con estese capacità di furto di dati e un pannello di amministrazione facile da usare. Secondo l’annuncio, oltre al furto dei dati del browser web, delle estensioni e dei portafogli di criptovaluta, Stealc ha anche un file grabber personalizzabile che può essere impostato per rubare qualsiasi tipo di file.
Dopo il primo post, Plymouth ha iniziato a promuovere il malware su altri forum di hacking e su canali Telegram privati, offrendo campioni di prova a potenziali clienti. Il venditore ha anche creato un canale Telegram dedicato alla pubblicazione dei changelog delle nuove versioni di Stealc, l’ultima delle quali è la v1.3.0, rilasciata l’11 febbraio 2023. Il malware è attivamente sviluppato e ogni settimana appare una nuova versione sul canale.
Plymouth ha anche dichiarato che Stealc non è stato sviluppato da zero, ma si basa sui furti di informazioni di Vidar, Raccoon, Mars e Redline. Un fattore comune che i ricercatori hanno riscontrato tra Stealc e i furti di informazioni di Vidar, Raccoon e Mars è che tutti scaricano DLL di terze parti legittime (ad es. sqlite3.dll, nss3.dll) per aiutare a rubare dati sensibili.
In un rapporto odierno, i ricercatori di SEKOIA notano che le comunicazioni di comando e controllo (C2) di uno dei campioni analizzati presentavano somiglianze con quelle dei furti di informazioni di Vidar e Raccoon. I ricercatori hanno scoperto più di 40 server C2 per Stealc e diverse dozzine di campioni in natura, il che indica che il nuovo malware ha attirato l’interesse della comunità criminale informatica. Nonostante il modello di business scadente, SEKOIA ritiene che Stealc rappresenti una minaccia significativa poiché potrebbe essere adottato da criminali informatici meno esperti.
Funzioni di Stealc
Stealc ha aggiunto nuove funzionalità dal suo primo rilascio a gennaio, tra cui un sistema per randomizzare gli URL C2, un migliore sistema di ricerca e ordinamento dei log (file rubati) e un’esclusione per le vittime in Ucraina.
Le caratteristiche che SEKOIA ha potuto verificare analizzando il campione catturato sono le seguenti:
- build leggera di soli 80KB
- Utilizzo di DLL legittime di terze parti
- Scritto in C e abusa delle funzioni API di Windows
- La maggior parte delle stringhe è offuscata con RC4 e base64
- Il malware si infiltra automaticamente nei dati rubati.
- Prende di mira 22 browser web, 75 plugin e 25 portafogli desktop
- Il rapporto attuale di SEKOIA non include tutti i dati ottenuti dal reverse engineering di Stealc, ma fornisce una panoramica delle fasi principali della sua esecuzione.
