恶意软件 NS-STEALER:通过 Discord 机器人窃取数据

安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具,该工具使用 Discord 机器人从受感染的主机窃取敏感数据。

该恶意软件名为 NS-STEALER,通过 ZIP 存档分发,伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件(“Loader GAYve”),充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。

plez5t3k3v6btur78graeb2sn5x442wl

存档内容

在创建的文件夹中,恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后,收集到的信息会传输到机器人的 Discord 频道。

uo0eesp5eb96ctnwd3pij784gumqfp95

感染链

研究人员指出,恶意软件利用复杂的功能来收集敏感信息,并且通过使用支持身份验证的 X509Certificate 功能,在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。

 


转自安全客,原文链接:https://www.anquanke.com/post/id/292819

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞10 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容