Nowa kradzież informacji złośliwe oprogramowanie został wykryty, który jest w stanie wydobyć sporo poufnych informacji, a także wyłączyć programy antywirusowe w celu zapewnienia trwałości na docelowych punktach końcowych.
Badacze ds. cyberbezpieczeństwa z CYFIRMA udostępnili dogłębną analizę złodzieja informacji, którego nazywają Yunit Stealer.
Yunit Stealer wykorzystuje JavaScript do włączenia narzędzi systemowych i modułów kryptograficznych, umożliwiając mu wykonywanie zadań, takich jak pobieranie informacji o systemie, wykonywanie poleceń i żądania HTTP. Pozostaje trwały na urządzeniu docelowym poprzez modyfikację rejestru, dodawanie zadań poprzez wsadowe i VBScript, a ostatecznie – przez ustawienie wyjątków w Windows Defender.
Kradzież haseł i danych kart kredytowych
Jeśli chodzi o możliwości kradzieży informacji, Yunit jest tak samo potężny, jak każdy inny szkodliwy program. Może kraść informacje o systemie, dane zapisane w przeglądarce (hasła, pliki cookie, informacje o autouzupełnianiu itp.), a także informacje o portfelu kryptowalut. Oprócz haseł może także zapisywać informacje o karcie kredytowej przechowywane w przeglądarce.
Po zebraniu wszystkich informacji, które uzna za przydatne, szkodliwe oprogramowanie będzie próbowało je wydobyć za pośrednictwem webhooków Discord lub do kanału Telegramu. Prześle go również na zdalny serwer i wygeneruje łącze do pobrania w celu uzyskania dalszego dostępu. Link będzie zawierał również zrzuty ekranu, które umożliwią osobie zagrażającej odzyskanie informacji przy zachowaniu anonimowości i uniknięciu wykrycia. Pomocny jest także dostęp do danych za pośrednictwem szyfrowanych kanałów komunikacji.
Aby wzmocnić pogląd, że Yunit jest rodzącym się złodziejem informacji, który jeszcze nie wykazał swoich umiejętności, CYFIRMA podkreśliła, że kanał Telegram został utworzony dopiero 31 sierpnia 2024 r. i że obecnie ma 12 subskrybentów. Alternatywnie konto Discord jest obecnie nieaktywne.
