Die Malware „Angry Stealer“ wird auf Social-Media-Plattformen vertrieben. Sie wird auch auf Messaging-Apps wie Telegram angeboten. Die umbenannte Malware ermöglicht den Missbrauch der Telegram-API zum Datendiebstahl.
Eine umbenannte Version von Rage Stealer wird online verkauft
Die vom CYFIRMA-Forschungsteam identifizierte Angry Stealer-Malware ist im Wesentlichen ein „Info-Stealer“-Paket. Es ist besorgniserregend festzustellen, dass die Malware offenbar zur Massenware geworden ist.
Bedrohungsakteure machen auf mehreren Social-Media-Plattformen, darunter Telegram, Werbung für die Verfügbarkeit der Malware. Dies erhöht die Anzahl potenzieller Angreifer und den Umfang der Malware erheblich.
#CYFIRMArche identifizierte vor kurzem eine #dropperbinär das ein #Informationsdiebstahl #Malware bekannt als #AngryStealereine umbenannte Version von #RageStealer beworben auf einem #Telegramm Kanal.
Eine umfassende Analyse von Angry Stealer: Rage Stealer in einer neuen Verkleidung – CYFIRMA— CYFIRMA Research (@CyfirmaR) 26. August 2024
Angry Stealer zielt Berichten zufolge auf eine Vielzahl von Datensätzen mit sensiblen Informationen ab. Es verwendet fortschrittliche Techniken und Rebranding-Taktiken. Seine Angriffsstrategie und -prozesse scheinen der Rage Stealer-Malware ähnlich zu sein.
Laut dem Sicherheitsforschungsteam von CYFIRMA könnte es sich bei Angry Stealer um eine umbenannte Version der Malware Rage Stealer handeln. Der Grund hierfür sind viele Ähnlichkeiten im Code, den Features, Funktionen und sogar im Verhalten.
Wie stiehlt die Malware „Angry Stealer“ Daten?
Angry Stealer besteht aus zwei Hauptkomponenten: „Stepasha.exe“ und „MotherRussia.exe“. Die Entwickler haben die Nutzlast mithilfe von .Net als 32-Bit-Win32-ausführbare Datei erstellt.
Stepasha.exe versucht, vertrauliche Informationen wie Passwörter, Cookies, AutoFill-Informationen, Details zu Kryptowährungs-Wallets, Systeminformationen, VPN-Anmeldeinformationen, Discord-Token und mehr zu stehlen. Diese gestohlenen Daten werden dann mithilfe integrierter Authentifizierungsdaten auf die APIs von Telegram geladen. Diese ausführbare Datei umgeht sogar die SSL-Validierung, um eine erfolgreiche Datenexfiltration sicherzustellen.
MotherRussia.exe hingegen ist darauf ausgelegt, neue Wege zu öffnen und mehr Opfer anzulocken. Mit anderen Worten: Diese ausführbare Datei kann benutzerdefinierte Malware generieren. Das Sicherheitsforschungsteam vermutet, dass dieses Programm Remotedesktopsitzungen öffnen und sich verbreiten könnte.
23.08.2024 ANGRY STEALER (Rage Stealer-Variante) Telegrammratte. Beispiele https://t.co/P9WNXf8oei
— cybrmonk (@cybr_monk) 2. September 2024
Insgesamt beginnt Angry Stealer nach einer erfolgreichen Infektion mit einer systematischen und gründlichen Sammlung vertraulicher Daten. Dabei scheint er es auf beliebte Webbrowser abgesehen zu haben. Dies könnte daran liegen, dass Browser zu einem bevorzugten Speicherort für Passwörter und Anmeldeinformationen für zahlreiche Onlinedienste geworden sind.
Das Forschungsteam hat beobachtet, dass die Malware Angry Stealer mehrere Browser gleichzeitig angreift. Sie versucht ständig, Passwörter, Kreditkartendaten, Cookies, AutoFill-Daten, Lesezeichen, laufende Prozesse, Bildschirmaufnahmen und Systemspezifikationen zu extrahieren.
Die Angry Stealer-Malware trifft Vorkehrungen, um nicht entdeckt zu werden. Sie priorisiert wichtige Ordner und Dokumente, die möglicherweise vertrauliche Informationen enthalten. Darüber hinaus sammelt die Malware sogar die IP-Adresse, den geografischen Standort und netzwerkbezogene Daten des Opfers.
Um diese Malware zu bekämpfen, müssten Systemadministratoren einen mehrschichtigen Sicherheitsansatz verfolgen. Eine ordnungsgemäße Trennung von Netzwerken kann die seitliche Ausbreitung der Malware einschränken. Die Malware scheint sich durch mehrere Techniken zu verbreiten, wobei größtenteils menschliches Versagen, Versehen und Nachlässigkeit eine Rolle spielen. Daher ist die Bereitstellung robuster Sicherheitsprogramme und deren Aktualisierung von entscheidender Bedeutung, um die Angry Stealer-Malware zu bekämpfen.
