Trong thế giới ngầm của tội phạm mạng, nơi các dịch vụ độc hại (CaaS) ngày càng sinh sôi nảy nở, các nhà nghiên cứu an ninh mạng vừa khám phá ra một loại mã độc đánh cắp thông tin mới, mang tên Meduza Stealer. Con quái vật này được tạo ra để lẩn tránh sự phát hiện của các phần mềm bảo mật, nhắm đến người dùng Windows.
Uptycs đã công bố một báo cáo, mô tả Meduza Stealer có một mục tiêu duy nhất: đánh cắp dữ liệu toàn diện. Nó thu thập thông tin từ hoạt động duyệt web của người dùng, trích xuất một loạt các dữ liệu liên quan đến trình duyệt. Từ thông tin đăng nhập quan trọng đến lịch sử duyệt web và dấu trang được lưu trữ cẩn thận, không một dữ liệu số nào là an toàn. Ngay cả các tiện ích mở rộng ví tiền điện tử, trình quản lý mật khẩu và tiện ích mở rộng 2FA cũng dễ bị tấn công.
Mặc dù có các tính năng tương tự các mã độc khác, Meduza tự hào có một thiết kế hoạt động “khéo léo”, né tránh việc sử dụng các kỹ thuật che giấu và nhanh chóng kết thúc hoạt động trên các máy chủ bị xâm nhập nếu kết nối với máy chủ của kẻ tấn công bị lỗi.
Meduza Stealer còn được thiết kế để hủy hoạt động nếu vị trí của nạn nhân nằm trong danh sách các quốc gia bị loại trừ được xác định trước của phần mềm độc hại, bao gồm Cộng đồng các Quốc gia Độc lập (CIS) và Turkmenistan.
Ngoài việc thu thập dữ liệu từ 19 ứng dụng quản lý mật khẩu, 76 ví tiền điện tử, 95 trình duyệt web, Discord, Steam và siêu dữ liệu hệ thống, Meduza Stealer còn thu thập các mục Windows Registry liên quan đến khai thác tiền ảo, cũng như danh sách các trò chơi đã cài đặt, cho thấy động cơ tài chính lớn hơn.
Hiện tại, nó đang được rao bán trên các diễn đàn ngầm như XSS và Exploit.in, và một kênh Telegram chuyên dụng dưới dạng đăng ký định kỳ với giá 199 đô la mỗi tháng, 399 đô la trong ba tháng hoặc 1.199 đô la cho giấy phép trọn đời. Thông tin bị đánh cắp bởi phần mềm độc hại được cung cấp thông qua một bảng điều khiển web thân thiện với người dùng.
Các nhà nghiên cứu cho biết: “Tính năng này cho phép người đăng ký tải xuống hoặc xóa dữ liệu bị đánh cắp trực tiếp từ trang web, cấp cho họ mức độ kiểm soát chưa từng có đối với thông tin bất hợp pháp của họ”.
“Bộ tính năng chuyên sâu này thể hiện bản chất phức tạp của Meduza Stealer và mức độ mà những người tạo ra nó sẵn sàng thực hiện để đảm bảo thành công của nó.”
Cập nhật
Một phân tích mã nguồn tiếp theo của Meduza Stealer của RussianPanda đã phát hiện ra các tham chiếu đến Aurora Stealer, làm tăng khả năng các nhà phát triển của Aurora cũng đứng sau Meduza. Không có bằng chứng nào cho thấy nguồn của Aurora Stealer đã bị rò rỉ.
Giải thích thuật ngữ:
- Crimeware-as-a-service (CaaS): Mô hình kinh doanh tội phạm mạng, trong đó các công cụ và dịch vụ độc hại được cung cấp cho những kẻ tấn công khác để thực hiện các hành vi phạm tội.
- Obfuscation: Kỹ thuật làm cho mã nguồn hoặc dữ liệu trở nên khó hiểu hơn, nhằm mục đích che giấu logic hoặc ngăn chặn việc phân tích ngược.
- Windows Registry: Cơ sở dữ liệu chứa thông tin cấu hình và tùy chọn cho hệ điều hành Windows và các ứng dụng.
