I ricercatori di Sekoia hanno individuato un nuovo info-stealer, denominato Stealc, che viene pubblicizzato sui forum del dark web come un erede dei noti Vidar, Raccoon, Mars e Redline. Dall’inizio del mese sono stati rilevati diversi campioni del malware e decine di server C2 (command and control), quindi la sua popolarità è in aumento tra i cybercriminali. Gli utenti devono utilizzare una soluzione di sicurezza aggiornata per bloccare eventuali attacchi.
Stealc: analisi delle funzionalità
In base alle informazioni pubblicate da un utente, Stealc può rubare dati dai browser, dalle estensioni dei wallet per criptovalute, dai wallet desktop e da varie applicazioni, tra cui i client email. Il malware può inoltre rubare specifici file e offre anche funzionalità di loader. Il controllo remoto avviene tramite un pannello di amministrazione, usato per la configurazione dell’info-stealer, l’analisi dei dati rubati e il download dei log.
Stealc è scritto in linguaggio C e sfrutta vari metodi di offuscamento del codice. La catena di infezione inizia con la pubblicazione di video su YouTube che spiegano come installare software pirata. Nella descrizione viene aggiunto il link al sito da cui scaricare i software. L’info-stealer è nascosto negli installer.
L’autore del malware ha già rilasciato quattro versioni. Come detto, Stealc è basato sul codice di altri info-stealer, quindi condivide alcune caratteristiche, tra cui l’uso di DLL legittime che vengono usate per il furto dei dati. I vari comandi sono inviati dai server C2 (command and control). Secondo gli esperti di Sekoia, Stealc è ancora in sviluppo. Verranno sicuramente aggiunte altre funzionalità e diventerà uno degli info-stealer più diffusi nei prossimi mesi.