Исследователи обнаружили как минимум 18 активных вредоносных кампаний с использованием Masad Stealer.
Специалисты компании Juniper Threat Labs обнаружили по меньшей мере 18 вредоносных кампаний и киберпреступных группировок, использующих новое вредоносное ПО Masad Stealer. В настоящее время вредонос активно рекламируется на хакерских форумах – желающие могут попробовать бесплатную версию с ограниченным функционалом или за $85 приобрести полнофункциональный вариант.
По словам специалистов, Masad Stealer имеет прямую связь с вредоносным ПО Qulab Stealer и является либо его усовершенствованной версией, либо непосредственным преемником. Вредонос создан с использованием скриптов Autoit и скомпилирован как исполняемый файл Windows.
Masad Stealer представляет собой шпионское ПО, способное похищать данные из браузеров (имена пользователей, пароли и данные банковских карт) и автоматически заменять криптовалютные кошельки из буфера обмена своим собственным. Некоторые варианты Masad Stealer также могут загружать на зараженную систему дополнительное вредоносное ПО (как правило, майнеры криптовалюты).
Примечательно, что в качестве C&C-канала вредонос использует мессенджер Telegram. Все похищенные данные Masad Stealer отправляет своему оператору с помощью Telegram-бота и через него же получает команды.
Вредонос распространяется под видом легитимного инструмента (ProxySwitcher, CCleaner.exe, Utilman.exe и пр.) или встраивается операторами в сторонние программы, предлагаемые на файлообменных сайтах.
