Новое вредоносное ПО «обчищает» криптовалютные кошельки с помощью Telegram

Специалисты компании Juniper Threat Labs обнаружили по меньшей мере 18 вредоносных кампаний и киберпреступных группировок, использующих новое вредоносное ПО Masad Stealer. В настоящее время вредонос активно рекламируется на хакерских форумах - желающие могут попробовать бесплатную версию с ограниченным функционалом или за $85 приобрести полнофункциональный вариант.

По словам специалистов, Masad Stealer имеет прямую связь с вредоносным ПО Qulab Stealer и является либо его усовершенствованной версией, либо непосредственным преемником. Вредонос создан с использованием скриптов Autoit и скомпилирован как исполняемый файл Windows.

Masad Stealer представляет собой шпионское ПО, способное похищать данные из браузеров (имена пользователей, пароли и данные банковских карт) и автоматически заменять криптовалютные кошельки из буфера обмена своим собственным. Некоторые варианты Masad Stealer также могут загружать на зараженную систему дополнительное вредоносное ПО (как правило, майнеры криптовалюты).

Примечательно, что в качестве C&C-канала вредонос использует мессенджер Telegram. Все похищенные данные Masad Stealer отправляет своему оператору с помощью Telegram-бота и через него же получает команды.

Вредонос распространяется под видом легитимного инструмента (ProxySwitcher, CCleaner.exe, Utilman.exe и пр.) или встраивается операторами в сторонние программы, предлагаемые на файлообменных сайтах.