На 23 април се появи реклама за нов конструктор на злонамерен софтуер за кражба на пароли от потребител на Discord с името “Portu” .

Това е нещо като програма, която позволява на така наречените скриптъри да създават свои собствени изпълними файлове от нулата. Наскоро анализаторите на заплахи в Uptycs откриха в дивата природа първата проба от това, което те нарекоха KurayStealer и се основава на вдъхновения от Portu зловреден софтуер.

Този злонамерен софтуер, KurayStealer, е бил използван от хакерите, за да се насочи предимно към потребителите на Discord.

Откриване

На 27 април 2022г. първата проба от  KurayStealer беше открита от системите за разузнаване на  Uptycs.

Освен това изследователите по киберсигурност в Uptycs извършиха OSINT проучване, в което откриха, че хакерите са използвали YouTube, за да рекламират този злонамерен конструктор за първи път на 23 април 2022г. Те също така рекламират този конструктор в Discord с името или псевдонима Portu. Python 3.0 (известен също като Py3k или Python 3000) е езикът за програмиране, на който е написан конструкторът. Създателят използва командата „wmic csproduct get UUID“, за да намери универсално уникалния идентификатор за продукта при изпълнение.

Приложения, използвани за събиране на пароли и токени

Kuray Stealer събира паролите и токените от следните приложения:

• Discord
• Lightcord
• Discord PTB
• Opera
• Opera GX
• Amigo
• Torch
• Kometa
• Orbitum
• CentBrowser
• 7Star
• Sputnik
• Vivaldi
• Chrome SxS
• Chrome
• Epic Privacy Browser
• Microsoft Edge
• Uran
• Yandex
• Brave
• Iridium

KurayStelaer OSINT

В KurayStelaer ще намерите редица компоненти, които се комбинират, за да създадат голямо разнообразие от начини за кражби на пароли, които използват токените на Discord като командни и контролни (C2) канали и събират цялата информация за жертвата. В кода на конструктора беше намерена и връзката за поканата към канала на Discord на създателите на конструктора.

В канала се споменава публикация относно комерсиалната версия на този конструктор в различни ценови диапазони. Освен това, профилът в Discord на Portu съдържа имената на два канала:

• A Shoppy link
• A YouTube link

Профилът на автора Portu в Shoppy беше свързан с допълнителни инструменти и търговски предложения, които се планира да бъдат изградени.

Въпреки че връзката към YouTube съдържа видеоклиповете от автора, видеоклипът за KurayStelaer, който е качен от него, е изтрит от канала.

Препоръки

Ето и всички препоръки, издадени от експертите:

• Строг контрол на сигурността
• Многопластова видимост
• Твърди решения за сигурност
• Възможности за сканиране на процеса на YARA
• Многофакторна автентификация