На хак-форумах бесплатно опубликован исходный код малвари для кражи информации, написанной на Rust. ИБ-исследователи сообщают, что этот инфостилер уже активно применяется в атаках.
Автор малвари утверждает, что те была разработана всего за шесть часов, ее можно назвать достаточно скрытой, а уровень обнаружения на VirusTotal составляет всего 22%. Поскольку малварь написана на Rust, она позволяет атаковать пользователей различных ОС, но пока инфостилер нацелен только на Windows.
Аналитики из компании Cyble, которые обнаружили и протестировали новый вредонос, назвали его Luca Stealer и сообщают, что в целом он обладает стандартными для данного типа вредоносных программ возможностями.
При запуске вредонос стремится похитить данные из тридцати разных браузеров на основе Chromium, включая информацию о сохраненных банковских картах, учетные данные и файлы cookie. Кроме того, инфостилер интересуется некоторыми криптовалютными расширениями для браузеров, учетными записи Steam, токенами Discord, Ubisoft Play и многим другим.
Отличительной особенностью Luca Stealer исследователи называют то, что он фокусируется на браузерных версиях менеджеров паролей, похищая локально хранящиеся данные из 17 подобных приложений.
Помимо перечисленного, Luca Stealer также способен делать скриншоты и сохранять их в виде файлов .png, выполняться whoami для профилирования хоста и передавать собранные сведения своим операторам.
Извлечение украденных данных осуществляется с помощью веб-хуков Discord или ботов в Telegram, в зависимости от того, превышает ли размер файла 50 Мб. Так, малварь использует веб-хуки Discord для отправки злоумышленникам более крупных порций ворованных данных. Украденные данные упаковываются в ZIP-архив, который сопровождается кратким описанием содержимого, так что оператор вредоноса может сразу оценить свою «добычу».
Аналитики Cyble предупреждают, что уже обнаружили не менее 25 экземпляров Luca Stealer, используемых в реальных атаках, так как некоторые киберпреступники поспешили воспользоваться бесплатным предложением. Впрочем, пока неясно, получит ли этот инфостилер более массовое распространение.