Το Kematian Stealer έχει αναδειχθεί ως ένα εξελιγμένο κακόβουλο λογισμικό που βασίζεται στο PowerShell που εκμεταλλεύεται κρυφά ευαίσθητα δεδομένα από παραβιασμένα συστήματα.
Αυτό το άρθρο εμβαθύνει στις περίπλοκες λειτουργίες αυτού του κακόβουλου λογισμικού (malware), επισημαίνοντας τις μεθόδους του και τους πιθανούς κινδύνους που ενέχει.
Binary Ανάλυση
Το Kematian Stealer ξεκινά τη λειτουργία του με ένα φορητό εκτελέσιμο αρχείο 64 bit, γραμμένο σε C++. Ο loader αυτός περιέχει μία ασαφή δέσμη ενεργειών στα resources του, σχεδιασμένη να αποφεύγει τον εντοπισμό και την ανάλυση. Κατά την εκτέλεση, το κακόβουλο λογισμικό εξάγει ένα blob με αναγνωριστικό “112E9CAC33494A35D3547F4B3DCD2FD5” από τα resources του, σύμφωνα με αναφορά της K7 Labs.
Δείτε επίσης: Χρήστες Mac εκτέθηκαν σε info-stealer malware μέσω Google Ads
Αυτό το blob στη συνέχεια αποκρυπτογραφείται, αποκαλύπτοντας ένα αρχείο δέσμης που ξεκινά την επόμενη φάση της επίθεσης. Η διαδικασία αποκρυπτογράφησης, πιθανώς με χρήση του αλγόριθμου RC4, αποτελεί κρίσιμο βήμα στη ροή εκτέλεσης του κακόβουλου λογισμικού. Μόλις αποκρυπτογραφηθεί, το αρχείο δέσμης εκτελείται με αυξημένα δικαιώματα, διασφαλίζοντας ότι το επόμενο σενάριο PowerShell μπορεί να λειτουργήσει χωρίς εμπόδια. Αυτή η δέσμη ενεργειών ελέγχει για δικαιώματα διαχειριστή και, αν είναι απαραίτητο, ζητά από τον χρήστη πριν δημιουργήσει επιμονή μέσω του Windows Task Scheduler.
Εμμονή και Συλλογή Δεδομένων
Ο μηχανισμός επιμονής του Kematian Stealer περιλαμβάνει τη δημιουργία ενός αντιγράφου του σεναρίου PowerShell στον φάκελο %Appdata% με το όνομα percs.ps1. Το σενάριο αυτό προγραμματίζεται να εκτελείται τακτικά, διασφαλίζοντας τη συνεχή παρουσία του κακόβουλου λογισμικού στο μολυσμένο σύστημα.
Η ουσία της διαδικασίας εξαγωγής δεδομένων βρίσκεται στη συνάρτηση “grub”, η οποία συλλέγει εκτενείς πληροφορίες συστήματος μέσω της δημόσιας διεύθυνσης IP, η οποία λαμβάνεται από ένα αίτημα Ιστού στη διεύθυνση “https://api.ipify.org”. Η IP καταγράφεται σε ένα αρχείο κειμένου με το όνομα “ip.txt” στον κατάλογο δεδομένων της τοπικής εφαρμογής του χρήστη.
Στη συνέχεια, το κακόβουλο λογισμικό συλλέγει λεπτομερείς πληροφορίες συστήματος χρησιμοποιώντας το εργαλείο γραμμής εντολών των Windows, Systeminfo.exe. Αυτό περιλαμβάνει την έκδοση του λειτουργικού συστήματος, το όνομα κεντρικού υπολογιστή, το μοντέλο συστήματος και άλλα, τα οποία καταγράφονται στο “system_info.txt”.
Επιπλέον, το κακόβουλο λογισμικό εξάγει τις διευθύνσεις UUID και MAC του συστήματος μέσω του Windows Management Instrumentation (WMI) και αποθηκεύει αυτές τις πληροφορίες σε αρχεία με ονόματα “uuid.txt” και “mac.txt”, αντίστοιχα.
Πληροφορίες δικτύου και χρήστη
Το Kematian Stealer διευρύνει τις δυνατότητες συλλογής δεδομένων του, εκτελώντας το NETSTAT.exe για τη λήψη στατιστικών δικτύου, ανακτώντας ενεργές συνδέσεις, θύρες ακρόασης και σχετικούς αναγνωριστικούς αριθμούς διεργασιών. Αυτές οι πληροφορίες είναι κρίσιμες για την κατανόηση του δικτυακού περιβάλλοντος του παραβιασμένου συστήματος.
Επιπλέον, οι μεταβλητές περιβάλλοντος συστήματος συγκεντρώνουν πληροφορίες χρήστη και κεντρικού υπολογιστή, προσφέροντας στον χάκερ πολύτιμα δεδομένα για το προφίλ του χρήστη του συστήματος. Τα συλλεγμένα δεδομένα μορφοποιούνται σχολαστικά και αποστέλλονται σε ένα κανάλι Discord μέσω webhook, διασφαλίζοντας ότι ο χάκερ λαμβάνει μια πλήρη αναφορά για το σύστημα του θύματος.
Διαβάστε ακόμη: Hackers αναπτύσσουν το Hijack Loader και το Vidar Stealer
Εξαγωγή Δεδομένων
Το τελικό στάδιο της λειτουργίας του Kematian Stealer περιλαμβάνει την εξαγωγή των συλλεχθέντων δεδομένων. Το κακόβουλο λογισμικό συμπιέζει όλα τα αρχεία κειμένου σε ένα αρχείο zip και χρησιμοποιεί το Curl.exe για να μεταφέρει τα δεδομένα και ένα ωφέλιμο φορτίο JSON σε ένα προκαθορισμένο κανάλι Discord.
Αυτή η μέθοδος αξιοποιεί την υποδομή του Discord για κρυπτογραφημένη επικοινωνία, καθιστώντας τον εντοπισμό και την υποκλοπή πιο δύσκολους.
Για να αποφύγει την ανίχνευση, το κακόβουλο λογισμικό ελέγχει για την παρουσία εργαλείων ασφαλείας, όπως το Discord Token Protector, και τα αφαιρεί αν τα εντοπίσει.
Προσπαθεί επίσης να κατεβάσει επιπλέον ωφέλιμα φορτία από τη σελίδα GitHub του Kematian Stealer, αν και ορισμένες διευθύνσεις URL ανακατευθύνονται σε παλαιότερες εκδόσεις.
Το Kematian Stealer είναι ένα χαρακτηριστικό παράδειγμα της αυξανόμενης πολυπλοκότητας του σύγχρονου κακόβουλου λογισμικού.
Με λειτουργίες όπως δημιουργία GUI, αποφυγή προστασίας από ιούς και δυνατότητες εξαγωγής κωδικών πρόσβασης WiFi, δεδομένων από κάμερες web, στιγμιότυπα επιφάνειας εργασίας και δεδομένα συνεδριών από διάφορους πελάτες, αποτελεί σημαντική απειλή τόσο για απλούς χρήστες όσο και για επιχειρήσεις.
Δείτε περισσότερα: Ψεύτικες ενημερώσεις browser διανέμουν τα BitRAT και Lumma Stealer malware
Η κατάχρηση του PowerShell από τον Kematian Stealer για μυστική εξαγωγή δεδομένων υπογραμμίζει την επιτακτική ανάγκη για συνεχή βελτίωση των μέτρων κυβερνοασφάλειας.
Κατανοώντας τις τακτικές και τις τεχνικές που χρησιμοποιεί το κακόβουλο λογισμικό, έχουμε τη δυνατότητα να προετοιμαστούμε καλύτερα και να προστατευτούμε πιο αποτελεσματικά.
IoCs
Πηγή: cybersecuritynews
