I ricercatori di sicurezza informatica di Sekoia hanno rilasciato i dettagli di un nuovo infostealer emerso su diversi forum di hacking clandestini in lingua russa: chiamato Stealc, secondo i ricercatori, sarebbe un attore malevolo con alias “Plymouth” ad averlo sviluppato e pubblicizzato come MaaS (Malware as a Service) oltre che sul Dark Web (XSS e BHF) anche su canali Telegram.
Stealc, attualmente alla versione 1.3.0, è un malware implementato in linguaggio C, completo, pronto all’uso, basato su altri popolari infostealer come Racoon, Vidar e Redline Stealer e viene continuamente aggiornato con cadenza settimanale.
Fonte: Sekoia.
“Le pubblicazioni e le attività osservate di Plymouth indicano che Stealc è in fase di sviluppo continuo con nuove funzionalità aggiunte su base settimanale. Sebbene lo stealer sia già funzionante e adottato da diversi attori delle minacce, lo sviluppatore continua a migliorare sia il malware che i pannelli di amministrazione, probabilmente per espandere la propria base di clienti.” commenta il Threat & Detection Research Team Sekoia.
Indice degli argomenti
Le capacità dell’infostealer Stealc
L’autore della minaccia ha pubblicato una descrizione dettagliata del malware Stealc per elencare le sue capacità, il pannello di amministrazione e alcune caratteristiche tecniche. Il malware, come si legge nel rapporto dei ricercatori di sicurezza, può prendere di mira ben 75 plug-in, 22 browser e 25 desktop wallet.
Inoltre, tramite un’interfaccia web, il pannello di amministrazione dell’infostealer può fornire una suite di funzionalità, consentendo agli utilizzatori di impostare la configurazione del malware, visualizzare, filtrare, ordinare, analizzare i dati rubati e scaricare log.
Tra le funzionalità di Stealc, figurerano:
- un randomizer di URL C2;
- un sistema avanzato di ordinamento e ricerca dei registri;
- utilizzo DLL di terze parti legittime;
- abuso delle funzioni API di Windows;
- capacità di offuscamento delle stringhe tramite codifica base64 e RC4.
La catena d’infezione
Per avviare l’infezione, il criminale informatico deve indurre la vittima a scaricare il malware con l’inganno. Al riguardo, Sekoia avrebbe trovato in rete falsi tutorial YouTube per software cracking pubblicati su account rubati.
![Sito Web del catalogo software violato (rcc-software[.]com) che attira l'utente a scaricare il campione di Stealc.](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2023/02/sito-web-del-catalogo-software-violato-rcc-softwa.jpg.webp)
Fonte: Sekoia.
In pratica, i video tutorial che descrivono come installare gratuitamente un software crackato fornirebbero un link (hxxps://rcc-software[.]com/services) per visualizzare un catalogo Web (“cracked software catalogue”) dal quale scaricare il presunto software, in realtà il payload che incorpora l’infostealer Stealc (hxxps://streetlifegaming[.]com/wp-content/uploads/2023/02/Pass_55555_Setup.rar).
Secondo l’analisi eseguita da Sekoia su dozzine dei campioni scoperti, dopo essere stato installato sul dispositivo target, il malware avvierebbe un controllo anti-analisi per assicurarsi che non sia in esecuzione in una sandbox o in un ambiente virtuale.
Dopo avere caricato le funzioni API di Windows e stabilito una connessione con il server C2, inizierebbe una comunicazione tramite richieste POST in attesa di ricevere i successivi comandi di configurazione.
Fonte: Sekoia.
Successivamente, il malware inizia a raccogliere dati da browser, estensioni e applicazioni eseguendo il suo file grabber per esfiltrare tutti i file sul server C2 e una volta terminata l’attività cancellandosi automaticamente dal dispositivo per evitare il rilevamento.
Buone regole per proteggersi dall’infostealer Stealc
Avendo scoperto al momento 35 server attivi C2 e più di 40 campioni Stealc, i ricercatori ritengono che il malware stia guadagnando molto rapidamente popolarità nelle comunità cyber criminali.
Pertanto, è quanto mai fondamentale attenersi a delle regole di buona pratica di base sempre valide:
- assicurare regolarmente per il proprio software di sicurezza un aggiornamento;
- evitare di scaricare e installare software da fonti terze non ufficiali;
- non aprire mai link o allegati da fonti sconosciute.
Vale la pena ricordare infine che strumenti Malware-as-a-Service come Stealc consentono anche ad attori malevoli senza particolari competenze tecniche di acquistare kit già pronti dai mercati underground e lanciare attacchi informatici in modo semplice e rapido.
