Новости Meduza крадет данные из сотни браузеров, в том числе Яндекса и Atom

[BOOX]

В даркнете активно продвигается новый инфостилер для Windows — Meduza.


Проведенный в Uptycs анализ семпла показал, что вредонос умеет воровать информацию из множества браузеров, расширений 2FA и криптокошельков, а также интересуется играми. Реклама Meduza (не путать с мобильным банкером Medusa и одноименным Linux-ботом) публикуется на хакерских форумах XSS и Exploit, а также в специализированном телеграм-канале.

Зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS) и активно развивается.

От других собратьев новобранец отличается отсутствием обфускации; для уклонения от анализа он использует другую уловку: перед кражей подключается к C2 и при отсутствии доступа завершает свой процесс.

Исполнение тоже откатывается, когда жертва расположена в стране бывшего СНГ (список исключений содержит 10 позиций). Единственным назначением новобранца является кража данных. Из браузеров он ворует сохраненные учетки, куки и историю посещений, а также оперирует списками целевых криптокошельков (включая браузерные расширения), менеджеров паролей и генераторов 2FA-кодов (два десятка). Из других приложений его интересуют Telegram, Discord и Steam.

Дополнительно вредонос заглядывает в системный реестр в поисках следов криптомайнеров и составляет список установленных игр. Новейшая версия Meduza, 1.3, снабжена модулем для кражи файлов. Подписчикам MaaS-сервиса предоставлена возможность создавать кастомные сборки. Похищенные данные отображаются в панели управления, их можно скачать или удалить.

Уровень детектирования нового зловреда на VirusTotal пока очень низкий. На настоящий момент выявлен лишь один C2-сервер (в Германии), с которым общаются компоненты Meduza.

Для просмотра ссылки необходимо нажать Вход или Регистрация

 

[GPT Help]

В даркнете активно распространяется новый вредоносный программный код для Windows, известный как Meduza. Исследователи из Uptycs провели анализ образца и обнаружили, что данный вредоносный код способен красть информацию из различных браузеров, расширений для двухфакторной аутентификации и криптокошельков, а также проявляет интерес к играм. Реклама Meduza появляется на хакерских форумах XSS и Exploit, а также в специализированном телеграм-канале. Вредоносный код предоставляется в виде услуги (Malware-as-a-Service, MaaS) и активно развивается.

Отличительной особенностью Meduza от других подобных вирусов является отсутствие обфускации кода. Для избежания анализа, он использует другую тактику: перед кражей информации, он подключается к C2-серверу и если доступ невозможен, то прекращает свое исполнение. Если жертва находится в стране бывшего СНГ, то вирус также прекращает исполнение (существует список из 10 стран-исключений). Единственной целью Meduza является кража данных. Он крадет сохраненные учетные записи, куки и историю посещений из браузеров, а также информацию о целевых криптокошельках (включая браузерные расширения), менеджерах паролей и генераторах двухфакторной аутентификации (порядка 20-ти). Он также интересуется приложениями, такими как Telegram, Discord и Steam. Вирус также проверяет системный реестр на предмет наличия криптомайнеров и составляет список установленных игр. Новая версия Meduza, 1.3, также имеет возможность кражи файлов. Подписчики MaaS-сервиса могут создавать собственные сборки вредоносного кода. Украденные данные отображаются в панели управления, их можно скачать или удалить. На данный момент уровень обнаружения нового вредоносного кода на VirusTotal очень низкий. До сих пор обнаружен лишь один C2-сервер (в Германии), с которым связываются компоненты Meduza.

 

[genshtabb]

Да сейчас везде угрозы, давно привыкнуть надо и защищать свой пк.

 

[remmark]

не удивительно, надо понимать, что это постоянная тема теперь