Houve um anúncio de um usuário discord com o identificador “Portu” que explodiu na internet em 23 de abril de 2022 para um novo construtor de malware para roubo de senhas.
É uma espécie de programa que permite aos chamados script kiddie hackers construir seus próprios executáveis ​​​​a partir do zero. Recentemente, os analistas de ameaças da Uptycs descobriram, à solta, a primeira amostra do que chamaram de KurayStealer, que foi baseado no malware inspirado em Portu.
Este malware, KurayStealer, foi usado pelos atores da ameaça para atingir principalmente os usuários do Discord.
Descoberta
Em 27 de abril de 2022, a primeira amostra de malware KurayStealer foi detectada pelos sistemas de inteligência de ameaças da Uptycs.
Além disso, os pesquisadores de segurança cibernética da Uptycs realizaram uma pesquisa OSINT na qual descobriram que os atores da ameaça usaram YouTube para anunciar este construtor malicioso pela primeira vez em 23 de abril de 2022.
Além disso, eles também anunciaram esse construtor no Discord com o nome ou apelido “Portu”. Pitão 3.0 (também conhecido como Py3k ou Python 3000) é a linguagem de programação na qual o construtor foi escrito.
O construtor usa o comando “wmic csproduct get UUID” para encontrar o identificador universalmente exclusivo do produto durante a execução.
Aplicativos explorados para coletar senhas e tokens
KurayStealer coleta senhas e tokens dos seguintes aplicativos: –
- DiscĂłrdia
- Cabo de luz
- Discord PTB
- Ă“pera
- Ă“pera GX
- Amigo
- Tocha
- Kometa
- Ă“rbita
- CentBrowser
- 7 estrelas
- Sputnik
- Vivaldi
- Chrome SxS
- cromada
- Navegador de privacidade Ă©pico
- Microsoft borda
- Urano
- Yandex
- Corajoso
- IrĂdio
KurayStelaer OSINT
No KurayStelaer, vocĂŞ encontrará vários componentes que se combinam para criar uma ampla variedade de ladrões de senhas que usam os tokens Discord como canais de comando e controle (C2) e coletam todas as informações da vĂtima.
TambĂ©m incluĂdo no cĂłdigo do construtor estava o link para o convite do canal Discord para os criadores do construtor.
É mencionado um post no canal sobre a versão comercial deste construtor em diferentes faixas de preço. Além disso, o perfil Discord de Portu contém os nomes de dois canais: –
- Um link do Shoppy
- A YouTube link
O perfil do autor no Shoppy para “Portu” foi vinculado a ferramentas adicionais e ofertas comerciais que estĂŁo planejadas para serem construĂdas.
Enquanto o YouTube link contĂ©m os vĂdeos do autor, mas, o YouTube o vĂdeo enviado pelo autor foi excluĂdo do canal do autor.
Recomendações
A seguir mencionamos todas as recomendações fornecidas pelos especialistas: –
- Controles de segurança rĂgidos
- Visibilidade em várias camadas
- Soluções robustas de segurança
- Capacidades de digitalização de processos YARA
- Autenticação multifator
VocĂŞ pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notĂcias sobre segurança cibernĂ©tica e hackers.