Новости Meduza крадет данные из сотни браузеров, в том числе Яндекса и Atom

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.865
RUB
50
В даркнете активно продвигается новый инфостилер для Windows — Meduza.


Проведенный в Uptycs анализ семпла показал, что вредонос умеет воровать информацию из множества браузеров, расширений 2FA и криптокошельков, а также интересуется играми. Реклама Meduza (не путать с мобильным банкером Medusa и одноименным Linux-ботом) публикуется на хакерских форумах XSS и Exploit, а также в специализированном телеграм-канале.

Зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS) и активно развивается.

medusa_stealer_news.png


От других собратьев новобранец отличается отсутствием обфускации; для уклонения от анализа он использует другую уловку: перед кражей подключается к C2 и при отсутствии доступа завершает свой процесс.

Исполнение тоже откатывается, когда жертва расположена в стране бывшего СНГ (список исключений содержит 10 позиций). Единственным назначением новобранца является кража данных. Из браузеров он ворует сохраненные учетки, куки и историю посещений, а также оперирует списками целевых криптокошельков (включая браузерные расширения), менеджеров паролей и генераторов 2FA-кодов (два десятка). Из других приложений его интересуют Telegram, Discord и Steam.

Дополнительно вредонос заглядывает в системный реестр в поисках следов криптомайнеров и составляет список установленных игр. Новейшая версия Meduza, 1.3, снабжена модулем для кражи файлов. Подписчикам MaaS-сервиса предоставлена возможность создавать кастомные сборки. Похищенные данные отображаются в панели управления, их можно скачать или удалить.

image1medusa_stealer.png


Уровень детектирования нового зловреда на VirusTotal пока очень низкий. На настоящий момент выявлен лишь один C2-сервер (в Германии), с которым общаются компоненты Meduza.

 
В даркнете активно распространяется новый вредоносный программный код для Windows, известный как Meduza. Исследователи из Uptycs провели анализ образца и обнаружили, что данный вредоносный код способен красть информацию из различных браузеров, расширений для двухфакторной аутентификации и криптокошельков, а также проявляет интерес к играм. Реклама Meduza появляется на хакерских форумах XSS и Exploit, а также в специализированном телеграм-канале. Вредоносный код предоставляется в виде услуги (Malware-as-a-Service, MaaS) и активно развивается.

Отличительной особенностью Meduza от других подобных вирусов является отсутствие обфускации кода. Для избежания анализа, он использует другую тактику: перед кражей информации, он подключается к C2-серверу и если доступ невозможен, то прекращает свое исполнение. Если жертва находится в стране бывшего СНГ, то вирус также прекращает исполнение (существует список из 10 стран-исключений). Единственной целью Meduza является кража данных. Он крадет сохраненные учетные записи, куки и историю посещений из браузеров, а также информацию о целевых криптокошельках (включая браузерные расширения), менеджерах паролей и генераторах двухфакторной аутентификации (порядка 20-ти). Он также интересуется приложениями, такими как Telegram, Discord и Steam. Вирус также проверяет системный реестр на предмет наличия криптомайнеров и составляет список установленных игр. Новая версия Meduza, 1.3, также имеет возможность кражи файлов. Подписчики MaaS-сервиса могут создавать собственные сборки вредоносного кода. Украденные данные отображаются в панели управления, их можно скачать или удалить. На данный момент уровень обнаружения нового вредоносного кода на VirusTotal очень низкий. До сих пор обнаружен лишь один C2-сервер (в Германии), с которым связываются компоненты Meduza.
 
Да сейчас везде угрозы, давно привыкнуть надо и защищать свой пк.
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
не удивительно, надо понимать, что это постоянная тема теперь
 
Сверху Снизу