Juniper Threat Labs ha scoperto un nuovo spyware che filtra le informazioni rubate utilizzando Telegram come canale di comando e controllo (CnC), consentendo così al malware un po’ di anonimato, essendo Telegram un’applicazione di messaggistica legittima con 200 milioni di utenti attivi mensili.
Il malware viene pubblicizzato sui forum del mercato nero come “Masad Clipper and Stealer”. Dopo averlo installato, Masad Stealer inizia raccogliendo informazioni sensibili dal sistema, come dati del browser, che potrebbero contenere nomi utente, password e informazioni sulla carta di credito, password del browser, informazioni su PC e sistema, file desktop, software e processi installati e altri dati. Il malware sostituisce automaticamente anche i portafogli di criptovaluta dagli appunti con i propri.
Masad Stealer comprime queste informazioni in un file usando l’utilità 7zip, che è raggruppata nel binario del malware e invia tutte le informazioni raccolte e riceve comandi da un bot Telegram controllato
dall’attore della minaccia che distribuisce l”istanza di Masad. Masad viene venduto come malware standard quindi sarà molto probabile vedere lo stesso malware distribuito in altre versioni o con altre variabili svluppato da altri cybercriminali.
Questo malware è pubblicizzato in vari forum di hacking come Masad Stealer. Inizia con una versione
gratuita e scala fino a versioni che richiedono fino a $ 85, con ogni livello di malware che offre funzionalità
diverse.
I ricercatori sottolienano che esiste almeno un sito Web dedicato (ma*****oject [.] Life) che promuove attivamente la vendita di Masad Stealer. Gli sviluppatori hanno anche creato un gruppo Telegram per i loro potenziali clienti e presumibilmente per offrire supporto tecnico. Al momento questo gruppo conta oltre più di 300 membri.
Sulla base della telemetria di Juniper Threat Labs, i principali vettori di distribuzione di Masad Stealer si
mascherano come uno strumento legittimo o si raggruppano in strumenti di terze parti. Gli hacker ottengono il download del malware che infetta gli utenti finali veicolandolo sui siti di download di terze parti, nei forum o sui siti di condivisione di file.
Juniper Threat Labs ritiene che Masad Stealer rappresenti una minaccia attiva e in corso. I “ro-bot” di
comando e controllo (C&C) sono ancora attivi e il malware sembra essere ancora disponibile per l’acquisto sul mercato nero.
