Erweiterte Bedrohungsforschung: Analyse der Collector-Stealer-Malware russischen Ursprungs

Collector-Stealer, eine Schadsoftware russischen Ursprungs, wird im Internet häufig eingesetzt, um vertrauliche Daten aus Endbenutzersystemen zu extrahieren und in seinen C&C-Panels zu speichern. Um die Branche beim Schutz vor dieser Bedrohung zu unterstützen, präsentieren Aditya K Sood und Rohit Chaturvedi vom Advanced Threat Research Center of Excellence im Büro des CTO von F5 eine 360-Grad-Analyse der Collector-Stealer-Malware, um versteckte Artefakte aufzudecken, die die Binäranalyse, ihre Funktionsweise und das Design der zugehörigen C&C-Panels abdecken.

Die Verbreitung von Sammler- und Diebstählen ist in relativ kurzer Zeit weit verbreitet. Die durch die Schadsoftware gestohlenen Informationen werden im Allgemeinen auf Untergrundmärkten für schändliche Zwecke bereitgestellt. Angreifer zielen mit Collector-Stealer hauptsächlich auf europäische Länder ab, aber auch Benutzer aus anderen Ländern wie den USA, China und Kambodscha sind davon betroffen.

Hier sind einige der Highlights und interessanten Merkmale von Collector-Stealer, die durch diese Analyse aufgedeckt wurden:

• Collector-Stealer verwenden mehrere Wege, um eine Infektion einzuleiten, darunter:
  • Benutzer werden auf Phishing-Portale gelockt, auf denen kostenlose Spiele-Downloads angeboten werden
  • Windows-Aktivierungs-/Crack-Softwarepakete
  • Gefälschtes Miner-Webportal (Webportal, das ähnliche Inhalte von Portalen von Kryptowährungssoftwareanbietern nachahmt, um Drive-by-Download-Angriffe auszulösen)
• Collector Stealer ist in C++ geschrieben und infiziert den Computer des Benutzers, um wichtige Daten wie gespeicherte Passwörter, Webdaten, Cookies, Screenshots und mehr zu stehlen. Die Autoren von Malware verwendeten in ihrem Code Verschleierungstechniken, um die Forscher zu frustrieren und den Code komplizierter zu machen.
   
• Bevor der Collector-Stealer Daten an den C&C-Server sendet, prüft er die Internetverbindung auf dem Computer des Opfers, indem er die IP-Adresse 1.1.1.1 des Cloudflare-DNS-Resolvers anpingt. Wenn die Ping-Anforderung fehlschlägt, wird die ausführbare Datei zusammen mit den erfassten Daten vom Opfercomputer gelöscht und das Programm anschließend im Hintergrund beendet. Andernfalls sendet es die gesammelten Daten an den C&C-Server.
   
• Collector-Stealer verwendet das HTTP-Protokoll und die POST-Methode, um gesammelte Daten zu senden. Vor dem Senden komprimiert die Malware die Daten in eine ZIP-Archivdatei, die dann an den C&C-Server gesendet wird.
  

Aufgrund umfassender Malware-Funktionen erfreute sich Collector-Stealer in Untergrundforen großer Beliebtheit. Wir haben festgestellt, dass viele Benutzer Interesse am Kauf dieser Malware gezeigt haben und einige Gruppen haben sogar versucht, eine geknackte Version bereitzustellen. Die russische Gruppe „Hack_Jopi“ verkauft Collector-Stealer seit Oktober 2018 in Foren.

Die vollständige Forschungsarbeit mit einer detaillierten Analyse dieser Schadsoftware wurde im Virus Bulletin veröffentlicht. Sie können die Forschungsarbeit, die die oben genannten und weitere Erkenntnisse erläutert, unter folgender Adresse herunterladen:
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

Genießen!