Sofisticirani novi maliciozni softver za krađu kredencijala, poznat kao Katz Stealer, pojavio se kao značajna prijetnja korisnicima popularnih web pretraživača, demonstrirajući napredne mogućnosti koje mu omogućavaju zaobilaženje modernih sigurnosnih zaštita i krađu osjetljivih podataka za autentifikaciju.
Ova operacija malicioznog softvera kao usluge posebno cilja Chrome, Microsoft Edge, Brave i Firefox, koristeći višeslojnu strategiju napada koja kombinuje društveni inženjering s najsavremenijim tehnikama izbjegavanja kako bi se ugrozile korisničke kredencijale, kripto novčanici i komunikacijske platforme.
Ova prijetnja predstavlja zabrinjavajuću evoluciju u taktikama sajber kriminala, jer uspješno zaobilazi nedavno implementiranu tehnologiju šifrovanja vezanog za aplikaciju u Chrome-u, sigurnosnu funkciju posebno dizajniranu za zaštitu pohranjenih lozinki i kolačića od neovlaštenog pristupa.
Operateri Katz Stealera razvili su metode za direktno izdvajanje ključeva za dešifrovanje iz procesa pretraživača, efektivno neutralizirajući jedan od najrobustnijih sigurnosnih mehanizama preglednika koji se trenutno koriste.
Maliciozni softver također pokazuje izvanrednu svestranost u svom pristupu ciljanju, sistematski prikupljajući podatke s igraćih platformi poput Steama, komunikacijskih alata uključujući Discord i Telegram, e-mail klijenata poput Outlooka i raznih aplikacija za kriptovalute.
Istraživači kompanije Nextron Systems identifikovali su ovu novu prijetnju kroz sveobuhvatnu analizu njenih mehanizama infekcije i obrazaca ponašanja, dokumentujući sofisticirani višestepeni proces implementacije zlonamjernog softvera.
Istraga istraživačkog tima otkrila je da Katz Stealer koristi napredne tehnike anti-analize, uključujući mehanizme geofencinga koji sprječavaju izvršavanje u zemljama Zajednice Nezavisnih Država, mogućnosti detekcije virtuelnih mašina i strategije izbjegavanja sandboxa koje analiziraju rezoluciju ekrana i vrijeme rada sistema kako bi identifikovale istraživačka okruženja.
Strategija distribucije malicioznog softvera koristi svakodnevne online aktivnosti kao vektore napada, pri čemu hakeri sakrivaju maliciozne sadržaje unutar phishing e-poruka, lažnih preuzimanja softvera, manipuliranih rezultata pretrage i malicioznih oglasa .
Nakon što se uspostavi početni kontakt, infekcija se širi kroz pažljivo orkestrirani lanac događaja osmišljenih da minimiziraju otkrivanje, a istovremeno maksimiziraju mogućnosti ekstrakcije podataka.
Sofisticirana priroda ove prijetnje naglašava promjenjivi pejzaž cyber kriminalnih operacija, gdje tradicionalne sigurnosne granice sve više dovode u pitanje inovativne metodologije napada.
Analiza višefaznog lanca infekcije
Tehnička implementacija mehanizma zaraze Katz Stealer-a pokazuje izuzetnu sofisticiranost u njegovom pristupu isporuci i izvršavanju korisnog tereta.
.webp)
Napad počinje kada žrtve naiđu na jako zamagljen JavaScript kod skriven unutar GZIP datoteka, koji služi kao početna ulazna tačka za sekvencu implementacije malicioznog softvera.
.webp)
Ovaj JavaScript sadržaj sadrži složene dodjele varijabli i manipulacije stringovima dizajnirane da izbjegnu alate za statičku analizu, što dokazuju isječci koda koji prikazuju složene obrasce obfuskacije koji transformiraju jednostavne pozive funkcija u naizgled nasumične nizove znakova.
Druga faza uključuje izvršavanje PowerShell skripte kodirane u base64 formatu koja preuzima dodatne komponente s legitimnih hosting servisa, posebno koristeći archive.org kao mehanizam isporuke.
PowerShell naredba koristi skrivene zastavice prozora i preuzima ono što izgleda kao benigna datoteka slike, ali skripta zapravo skenira ovu datoteku u potrazi za ugrađenim kodom koji se nalazi između određenih markera.
Ova steganografska tehnika omogućava malicioznom softveru da sakrije svoj pravi teret unutar sadržaja koji izgleda bezopasno, značajno smanjujući vjerovatnoću otkrivanja od strane tradicionalnih sigurnosnih rješenja .
Nakon uspješne ekstrakcije sadržaja, zlonamjerni softver koristi .NET Reflection za učitavanje i izvršavanje sljedeće faze direktno u memoriji, potpuno zaobilazeći mehanizme detekcije na disku.
Konačno ubrizgavanje korisnog tereta se odvija putem tehnike izdubljivanja procesa (process hollowing) usmjerene na legitimni proces MSBuild.exe, gdje maliciozni softver uspostavlja trajnu TCP vezu sa svojom komandnom i kontrolnom infrastrukturom na IP adresi 185.107.74.40.
Izvor: CyberSecurityNews
