AgeoStealer: Célkeresztben a játékosok

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A Flashpoint kutatása szerint az AgeoStealer egy új, célzottan játékosokat támadó malware, amely social engineering technikákra épít. A kampányok során a támadók játékfejlesztői csoportnak álcázzák magukat, és béta tesztelésre hívják meg a kiszemelt áldozatokat, főként Discordon keresztül.

Az áldozatok egy jelszóval védett ZIP fájlt kapnak, amely egy játék telepítőjét tartalmazza. A bináris valójában egy Electron-alapú desktop alkalmazás, amely obfuszkált JavaScript kódot futtat. A letöltött kártékony komponens a háttérben automatikusan kapcsolódik egy parancs- és vezérlőszerverhez (C2), és elkezdi az áldozat rendszerének vizsgálatát és adatainak kiszivárogtatását.

Az AgeoStealer elsődleges célja az érzékeny felhasználói adatok begyűjtése és továbbítása a támadók felé. A program képes a népszerű böngészők által elmentett jelszavak, cookie-k és automatikusan kitöltött űrlapadatok ellopására. Emellett célpontjai közé tartozik a Discord, ahonnan a belépési tokeneket és más hitelesítési adatokat szerez meg. A kriptovaluta használók sincsenek biztonságban: a malware kifejezetten keres olyan fájlokat, amelyek a kriptotárcákhoz kapcsolódnak, valamint játékplatformok fiókadatait is összegyűjti. További funkcióként a rendszer egyes mappáit, így az asztalt, a letöltéseket és a dokumentumokat átvizsgálja, valamint képernyőképeket is készít, amelyeket szintén továbbít a vezérlőszerver felé.

A fertőzött rendszer feltérképezésére PowerShell-alapú parancsokat használ. Emellett hardverinformációkat, IP-címet és a használt operációs rendszer adatait is összegyűjti.

A malware többféle sandbox-ellenes módszert alkalmaz. Ha például érzékeli, hogy virtuális környezetben fut, nem aktiválja a fő funkciókat, vagy bezárja magát. Ezenkívül további fájlokat képes dinamikusan letölteni, így rugalmasan frissítheti saját komponenseit.

A JavaScript kód jelentős részben obfuszkált, a C2 kommunikációhoz pedig HTTP POST kéréseket használ. A lopott adatokat tömörítve, Base64-ben kódolva küldi el a szerver felé. A konfiguráció gyakran tartalmaz Telegram bot tokeneket is, így a támadók valós időben is értesülhetnek a fertőzésekről.

A Flashpoint kutatása szerint az AgeoStealer kampányok során egyedi fájlneveket és brandinget használnak (pl. „Aurora_Game_Setup.exe”). A C2 infrastruktúra gyakran dinamikus DNS szolgáltatásokra épül, a domainnevek rövid életűek, és gyakran megosztott tárhelyeken működnek.