Ciberseguridad 360 | NS-STEALER utiliza Discord Bots para robar tus datos

Investigadores de ciberseguridad han descubierto un nuevo y "sofisticado" ladr�n de informaci�n basado en Java que utiliza un bot de Discord para filtrar datos confidenciales de hosts comprometidos.

El malware, denominado NS-STEALER, se propaga a trav�s de archivos ZIP que se hacen pasar por software crackeado, seg�n explica Gurumoorthi Ramanathan, investigador de seguridad de Trellix.

El archivo ZIP contiene un acceso directo fraudulento a Windows ("Loader GAYve"), que act�a como conducto para desplegar un archivo JAR malicioso que primero crea una carpeta llamada "NS-<11-digit_random_number>" para almacenar los datos recopilados.

En esta carpeta, el malware guarda capturas de pantalla, cookies, credenciales y datos de autorrelleno robados de m�s de dos docenas de navegadores web, informaci�n del sistema, una lista de programas instalados, tokens de Discord y datos de sesi�n de Steam y Telegram. A continuaci�n, la informaci�n capturada se exfiltra a un canal de Discord Bot.

"Teniendo en cuenta la funci�n altamente sofisticada de recopilaci�n de informaci�n sensible y el uso de X509Certificate para apoyar la autenticaci�n, este malware puede robar r�pidamente informaci�n de los sistemas de las v�ctimas con [Java Runtime Environment]", dijo Ramanathan.

"El canal del bot Discord como EventListener para recibir datos exfiltrados tambi�n es rentable".

El desarrollo se produce mientras los actores de la amenaza detr�s del malware Chaes (tambi�n conocido como Chae$) han lanzado una actualizaci�n (versi�n 4.1) del ladr�n de informaci�n con mejoras en su m�dulo Chronod, responsable de robar las credenciales de inicio de sesi�n introducidas en los navegadores web e interceptar las transacciones criptogr�ficas.

Las cadenas de infecci�n que distribuyen el malware, seg�n Morphisec, utilizan se�uelos de correo electr�nico de tem�tica legal escritos en portugu�s para enga�ar a los destinatarios y que hagan clic en enlaces falsos para desplegar un instalador malicioso para activar Chae$ 4.1.

Pero en un giro interesante, los desarrolladores tambi�n dejaron mensajes para el investigador de seguridad Arnold Osipov -que ha analizado ampliamente Chaes en el pasado- expresando su gratitud por ayudarles a mejorar su "software" directamente dentro del c�digo fuente.

Fuente: thehackernews.com