Nova prijetnja poznata kao “123 | Stealer” pojavila se na forumima sajberkriminalaca, a nudi je akter pod nadimkom “koneko” po cijeni od 120 dolara mjesečno. Ova ponuda, koja funkcioniše po modelu “malware-as-a-service” (MaaS), predstavlja najnoviji iskorak u tehnologiji za krađu podataka, kombinujući napredne mogućnosti za eksfiltraciju podataka sa jednostavnim administrativnim interfejsom. Stealer je dizajniran da cilja širok spektar osjetljivih informacija, što ukazuje na rastuću komercijalizaciju alata sajberkriminala.
Prema oglasu na forumu, malver prikuplja podatke iz pretraživača, uključujući kolačiće, sačuvane lozinke, informacije o kripto-novčanicima i ekstenzije pretraživača. Akter prijetnje tvrdi da “123 | Stealer” takođe može izvršavati operacije preuzimanja procesa i datoteka, čime postaje svestran alat za operacije krađe podataka.
“123 | Stealer” je napisan u programskom jeziku C++, što sugeriše da su programeri dali prednost performansama i pristupu sistemu na niskom nivou. Malver koristi arhitekturu bez DLL-ova (DLL-free stub), težine oko 700KB, što mu otežava otkrivanje od strane tradicionalnih antivirusnih rješenja koja se oslanjaju na metode detekcije ubacivanja dinamičkih biblioteka (DLL injection).
Jedan značajan aspekt jeste zahtjev za upotrebom proxy servera. Korisnici moraju sami uspostaviti svoju proxy infrastrukturu koristeći servere bazirane na Ubuntu ili Debian operativnim sistemima, što ukazuje na sofisticiranu komandnu i kontrolnu (C2) arhitekturu. Ovaj pristup omogućava operaterima malvera da održe operativnu sigurnost (OPSEC) dok prebacuju teret distribucije infrastrukture na kupce.
Administrativni panel prikazuje opsežnu podršku za pretraživače, uključujući kompatibilnost sa preko 70 ekstenzija pretraživača. “123 | Stealer” cilja glavne pretraživače bazirane na Chromiumu, kao što su Google Chrome, Opera i sam Chromium, kao i pretraživače bazirane na Gecko, poput varijanti Firefoxa. Takođe, na meti malvera nalaze se popularne aplikacije, uključujući Discord, Battle.net i razne kripto-novčanike.
Mesečni model pretplate od 120 dolara pozicionira “123 | Stealer” u srednji segment tržišta informacionih steler–a. Ova strategija cijena usmjerena je kako na početnike u sajberkriminalu, tako i na iskusne aktere prijetnji koji traže pouzdane alate za eksfiltraciju podataka. Model pretplate osigurava stalni prihod za autore malvera, istovremeno pružajući kontinuirana ažuriranja i podršku korisnicima.
U oglasu na forumu naglašava se da su korisnici odgovorni za svako otkrivanje ili događaje više sile, što ukazuje na pokušaj autora malvera da ograniče svoju odgovornost. Osim toga, usluga izričito zabranjuje operacije u Rusiji, zemljama ZND-a i bivšim sovjetskim republikama, što je uobičajeno ograničenje među uslugama sajberkriminala.
Trenutno malver još nije dobio javne recenzije od drugih sajberkriminalaca na forumu, čime je njegova stvarna efikasnost neprovjerena. Međutim, profesionalni izgled interfejsa za prijavu i sveobuhvatan administrativni panel sugerišu značajna ulaganja u razvoj, ukazujući na to da bi ovo mogla biti ozbiljna prijetnja, a ne operacija prevare. Stručnjaci za sigurnost i organizacije bi trebalo da prate uzorke “123 | Stealer”-a i ažuriraju svoje signature detekcije kako bi se zaštitili od ove novonastale prijetnje.
