Pencuri informasi baru bernama Stealc telah muncul di web gelap mendapatkan daya tarik karena promosi agresif kemampuan mencuri dan kesamaan dengan malware sejenis seperti Vidar, Raccoon, Mars, dan Redline.
Peneliti keamanan di perusahaan intelijen ancaman dunia maya SEKOIA melihat ketegangan baru pada bulan Januari dan memperhatikan bahwa hal itu mulai mendapatkan daya tarik pada awal Februari.
Pencuri baru untuk dijual
Stealc telah diiklankan di forum peretasan oleh pengguna bernama “Plymouth”, yang menampilkan malware sebagai bagian dari malware dengan kemampuan mencuri data yang luas dan panel administrasi yang mudah digunakan.
Menurut pengiklan, selain dari penargetan tipikal data browser web, ekstensi, dan dompet cryptocurrency, Stealc juga memiliki pengambil file yang dapat disesuaikan yang dapat diatur untuk menargetkan jenis file apa pun yang ingin dicuri oleh operator.
Setelah posting awal, Plymouth mulai mempromosikan malware di forum peretasan lainnya dan di saluran Telegram pribadi, menawarkan sampel uji kepada calon pelanggan.
Penjual juga menyiapkan saluran Telegram yang didedikasikan untuk menerbitkan log perubahan versi baru Stealc, yang terbaru adalah v1.3.0, dirilis pada 11 Februari 2023. Malware dikembangkan secara aktif, dan versi baru muncul di saluran setiap minggu.
Plymouth juga mengatakan bahwa Stealc tidak dikembangkan dari awal melainkan mengandalkan pencuri Vidar, Raccoon, Mars dan Redline.
Satu kesamaan yang ditemukan para peneliti antara Stealc dan Vidar, Raccoon dan Mars infostealers adalah bahwa mereka semua mengunduh DLL pihak ketiga yang sah (mis. sqlite3.dll, nss3.dll) untuk membantu mencuri data sensitif.
Di sebuah laporan hari ini, peneliti SEKOIA mencatat bahwa komunikasi perintah dan kontrol (C2) dari salah satu sampel yang mereka analisis memiliki kesamaan dengan pencuri info Vidar dan Raccoon.
Para peneliti menemukan lebih dari 40 server C2 untuk Stealc dan beberapa lusin sampel di alam liar, menunjukkan bahwa malware baru tersebut telah menarik minat komunitas penjahat dunia maya.
Popularitas ini mungkin disebabkan oleh fakta bahwa pelanggan dengan akses ke panel administrasi dapat menghasilkan sampel pencuri baru, yang meningkatkan kemungkinan malware bocor ke audiens yang lebih luas.
Terlepas dari model bisnis yang buruk, SEKOIA percaya bahwa Stealc merupakan ancaman yang signifikan karena dapat diadopsi oleh penjahat dunia maya yang kurang teknis.
fungsi Stealc
Stealc telah menambahkan fitur baru sejak rilis pertamanya pada bulan Januari, termasuk sistem untuk mengacak URL C2, sistem pencarian dan penyortiran log (file yang dicuri) yang lebih baik, dan pengecualian untuk korban di Ukraina.
Fitur yang SEKOIA dapat verifikasi dengan menganalisis sampel yang diambil adalah sebagai berikut:
- Build ringan hanya 80KB
- Penggunaan DLL pihak ketiga yang sah
- Ditulis dalam C dan menyalahgunakan fungsi Windows API
- Sebagian besar string disamarkan dengan RC4 dan base64
- Malware mengekstraksi data yang dicuri secara otomatis
- Ini menargetkan 22 browser web, 75 plugin, dan 25 dompet desktop
Laporan SEKOIA saat ini tidak mencakup semua data yang diperoleh dari reverse engineering Stealc tetapi memberikan ikhtisar tentang langkah-langkah utama pelaksanaannya.
Saat diterapkan, malware mendeobfuscate string-nya dan melakukan pemeriksaan anti-analisis untuk memastikannya tidak berjalan di lingkungan virtual atau kotak pasir.
Selanjutnya, secara dinamis memuat fungsi WinAPI dan memulai komunikasi dengan server C2, mengirimkan pengenal perangkat keras korban dan nama build di pesan pertama, dan menerima konfigurasi sebagai tanggapan.
Stealc kemudian mengumpulkan data dari browser, ekstensi, dan aplikasi yang ditargetkan, dan juga mengeksekusi pengambil file khusus jika aktif, dan akhirnya mengekstrak semuanya ke C2. Setelah langkah ini selesai, malware menghapus dirinya sendiri dan file DLL yang diunduh dari host yang disusupi untuk menghapus jejak infeksi.
Untuk daftar lengkap kemampuan Stealc dan aplikasi yang ditargetkan, lihat Lampiran 1 bagian dalam laporan SEKOIA.
Salah satu metode distribusi yang diamati para peneliti adalah melalui video YouTube yang menjelaskan cara memasang perangkat lunak yang telah diretas dan menautkan ke situs web unduhan.
Para peneliti mengatakan bahwa unduhan perangkat lunak menyematkan pencuri info Stealc. Setelah penginstal dijalankan, malware memulai rutinitasnya dan berkomunikasi dengan servernya.
SEKOIA telah membagikan sejumlah besar indikator kompromi yang dapat digunakan perusahaan untuk mempertahankan aset digital mereka juga YARA Dan Suricata aturan untuk mendeteksi malware berdasarkan rutinitas dekripsi, string dan perilaku tertentu,
Mempertimbangkan metode distribusi yang diamati, pengguna disarankan untuk tidak menginstal perangkat lunak bajakan dan mengunduh produk hanya dari situs web pengembang resmi.
