Η απειλή του Katz Stealer: Μια νέα διάσταση στην κλοπή διαπιστευτηρίων

Η εμφάνιση του Katz Stealer

Το Katz Stealer είναι ένα εξελιγμένο κακόβουλο λογισμικό που λειτουργεί ως υπηρεσία (MaaS), το οποίο επαναπροσδιορίζει τα όρια της κλοπής διαπιστευτηρίων. Εντοπίστηκε για πρώτη φορά φέτος και συνδυάζει επιθετική εξαγωγή δεδομένων με προηγμένες τεχνικές αναγνώρισης συστημάτων, μηχανισμούς διαρκούς παρουσίας και στρατηγικές αποφυγής ανίχνευσης.

Η διανομή του γίνεται κυρίως μέσω phishing emails και ψεύτικων λήψεων λογισμικού, στοχεύοντας σε ένα ευρύ φάσμα ευαίσθητων πληροφοριών. Αυτές περιλαμβάνουν διαπιστευτήρια από προγράμματα περιήγησης, δεδομένα πορτοφολιών κρυπτονομισμάτων, καθώς και tokens συνεδριών από πλατφόρμες όπως το Discord και το Telegram.

Προηγμένες τακτικές και τεχνικές

Η ικανότητά του να λειτουργεί στη μνήμη και να αναπτύσσει αρθρωτά φορτία εξασφαλίζει μέγιστη μυστικότητα, καθιστώντας το μια σημαντική πρόκληση για τις ομάδες ασφαλείας παγκοσμίως. Η αλυσίδα μόλυνσης του Katz Stealer είναι ένα μάθημα αποφυγής ανίχνευσης, αναπτύσσοντας πολλαπλά, προσεκτικά σχεδιασμένα στάδια για να παρακάμψει τα παραδοσιακά μέτρα ασφαλείας.

Η επίθεση ξεκινά συχνά με ένα κακόβουλο αρχείο GZIP που περιέχει έναν κρυπτογραφημένο JavaScript dropper. Αυτός χρησιμοποιεί παραπλανητικές τεχνικές κωδικοποίησης, όπως η εξαναγκασμένη μετατροπή τύπων και η πολυμορφική συνένωση, για να κρύψει την πρόθεσή του. Μόλις εκτελεστεί, το script καλεί το PowerShell με κρυφές παραμέτρους για να κατεβάσει ένα φαινομενικά αθώο αρχείο εικόνας από πλατφόρμες όπως το Archive.org, μόνο για να εξάγει ένα base64-κωδικοποιημένο φορτίο κρυμμένο μέσα του χρησιμοποιώντας στεγανογραφία.

Πολυεπίπεδη αλυσίδα μόλυνσης

Σύμφωνα με την αναφορά της Picus Security, αυτό το φορτίο, ένας φορτωτής .NET, πραγματοποιεί γεωφράγματα και ελέγχους sandbox, στοχεύοντας τοποθεσίες και επισημαίνοντας εικονικά περιβάλλοντα πριν εκμεταλλευτεί μια παράκαμψη UAC μέσω του cmstp.exe για να αποκτήσει αυξημένα δικαιώματα.

Το τελικό στοιχείο stealer εγχέεται σε νόμιμες διεργασίες όπως το MSBuild.exe μέσω της τεχνικής process hollowing, εξασφαλίζοντας ότι λειτουργεί κάτω από το ραντάρ ενώ δημιουργεί επίμονη επικοινωνία εντολών και ελέγχου (C2) με διακομιστές όπως το 185.107.74[.]40.

Εστίαση στην κλοπή δεδομένων και τη διαρκή παρουσία

Πέρα από τα προγράμματα περιήγησης, το Katz Stealer καινοτομεί εγχέοντας κακόβουλο κώδικα στο JavaScript bundle του Discord, μετατρέποντας την αξιόπιστη εφαρμογή σε μια πίσω πόρτα που λαμβάνει εντολές από τον επιτιθέμενο κατά την εκκίνηση, ενισχύοντας περαιτέρω την παρουσία του μέσω της αυτόματης εκκίνησης.

Αυτό που ξεχωρίζει το Katz Stealer είναι η σχολαστική του εστίαση στην κλοπή δεδομένων και τη διαρκή παρουσία. Στοχεύει πάνω από 78 παραλλαγές προγραμμάτων περιήγησης, αποκρυπτογραφώντας διαπιστευτήρια σε προγράμματα περιήγησης βασισμένα στο Chromium, έχοντας πρόσβαση σε κρυπτογραφημένα master keys σε αρχεία “Local State” και εξάγοντας cookies συνεδριών από καταλόγους προφίλ του Firefox.

Προστασία από το Katz Stealer

Η εμβέλειά του επεκτείνεται σε πορτοφόλια κρυπτονομισμάτων, σαρώνει για εφαρμογές επιφάνειας εργασίας όπως το Exodus και επεκτάσεις προγράμματος περιήγησης όπως το MetaMask, προετοιμάζοντας δεδομένα για άμεση εξαγωγή μέσω καναλιών TCP ή HTTPS με έναν χαρακτηριστικό δείκτη User-Agent “katz-ontop”.

Μετά την κλοπή, καθαρίζει προσωρινά αρχεία για να αποτρέψει την ανάλυση, ενώ το μοντέλο MaaS του, πλήρες με έναν φιλικό προς τον χρήστη πίνακα ελέγχου, δίνει τη δυνατότητα ακόμη και σε απειλητικούς παράγοντες χαμηλής δεξιότητας να προσαρμόζουν εκδόσεις και να εξάγουν κλεμμένα δεδομένα με ευκολία.

Αυτή η σύγκλιση τεχνικής πολυπλοκότητας και προσβασιμότητας υπογραμμίζει γιατί το Katz Stealer είναι μια κρίσιμη απειλή, απαιτώντας ισχυρές στρατηγικές ανίχνευσης και συνεχή επικύρωση ασφαλείας για την αντιμετώπιση των πολυδιάστατων διαδρομών επίθεσής του.

Δείκτες Συμβιβασμού (IOCs)