SamsStealer napada Windows sisteme

AUTOR ·

SamsStealer je sofisticirani zlonamjerni softver za krađu informacija koji kruži raznim forumima za sajber kriminalce od aprila 2024. godine. Ovaj izvršni fajl zasnovan na .NET programskom jeziku predstavlja značajnu prijetnju privatnosti i bezbednosti korisnika ciljajući Windows sisteme i izdvajajući osjetljive podatke kao što su lozinke, kolačići, sesije podatke i detalje o novčaniku kriptovaluta iz popularnih pregledača i aplikacija.

Samsstealer

SamsStealer napada Windows sisteme; Source: Bing Image Creator

SAMSSTEALER

Otkriven od strane sigurnosnih istraživača kompanije CYFIRMA, SamsStealer predstavlja novi talas kradljivaca informacija koji ciljaju na Windows sisteme. Ova zlonamjerna izvršna datoteka, napisan u .NET programskom jeziku, primijećen je kako se širi na Telegram kanalu pod nazivom SamsExploit. Istrage Open-Source Intelligence – OSINT su otkrile su više SamsStealer uzoraka  poslatih na mreži od aprila 2024. godine, što ukazuje na široku upotrebu i distribuciju. Autor SamsStealer zlonamjernog softvera tvrdi da je alat namijenjen u obrazovne svrhe, ali njegova distribucija na Telegram kanalima i dostupnost u zajednici sajber kriminala sugerišu drugačije. Korisnici grupe pretežno govore hindi, što ukazuje na vjerovatno poreklo iz južne Azije, posebno iz Indije.

 

Funkcionisanje

SamsStealer je 32-bitna Windows izvršna datoteka napisan u .NET programskom jeziku, nosi naziv “amsiwala” ali se distribuira preko Telegram kanala pod nazivom SamsExploit. Nakon izvršenja, SamsStealer kreira privremeni direktorijum pod nazivom MyTempFolder u privremenom direktorijumu sistema. Zatim nastavlja sa prikupljanjem osjetljivih informacija iz različitih izvora. Najnovija verzija, V2, ovog zlonamjernog softvera tvrdi da ima poboljšane mogućnosti u poređenju sa prethodnim verzijama.

Verzija V2 cilja dodatnih sedam pretraživača za krađu lozinki i kolačića pored standardnih. Na listi se nalaze Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Brave, Torch i Maxthon. Pored toga, SamsStealer je dizajniran za krađu podataka sa platformi Telegram, Discord i novčanika kriptovaluta. SamsStealer cilja na širok spektar novčanika za kriptovalute, uključujući Bitcoin, Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda i Coinomi.

Kopiranjem sadržaja ovih novčanika na određenu lokaciju, SamsStealer dobija pristup privatnim ključevima, adresama novčanika i drugim osjetljivim informacijama koje su ključne za kontrolu imovine kriptovaluta. Ova ekspanzija na ciljane platforme čini ga svestranim alatom za zlonamjerne aktere koji žele da dobiju pristup različitim vrstama osjetljivih informacija. Mogućnosti zlonamjernog softvera sežu dalje od puke krađe akreditiva; takođe prikuplja kolačiće, koji se mogu koristiti za otmicu sesije ili druge oblike neovlaštenog pristupa.

Zlonamjerni softver čuva sve prikupljene podatke u tekstualnoj datoteci u okviru privremenog direktorijuma pod nazivom MyTempFolder. Nakon krađe i preuzimanja svih potrebnih informacija sa uređaja žrtve, SamsStealer radi kompresiju ovog direktorijuma u ZIP arhivu pod nazivom Backup.zip i čuva je na putanji C: \Users\Username\AppData\Local\Temp pre nego što izbriše originalni direktorijum da bi se izbjegla detekcija od strane bezbjednosnih rješenja koja prate promjene datoteka u realnom vremenu. SamsStealer operacija čišćenja nije korisna samo za sprečavanje nereda izazvanog praznim ili nepotrebnim datotekama, već i optimizuje napore preuzimanja podataka smanjenjem obima nepotrebnih datoteka, što otežava bezbjednosnim timovima da otkriju i analiziraju ukradene informacije tokom tranzita.

 

ZAKLJUČAK

Najnovija SamsStealer verzija je napredni zlonamjerni softver za krađu informacija sa poboljšanim mogućnostima u poređenju sa prethodnim verzijama. Njegova primarna funkcija uključuje krađu lozinki i kolačića iz više internet pregledača, kao i podataka sa platformi Telegram, Discord i novčanika za kriptovalute. Njegova svestranost ga čini vrijednim sredstvom za zlonamjerne aktere koji žele da dobiju pristup različitim vrstama osjetljivih informacija. Uprkos tvrdnjama autora da je SamsStealer namijenjen u obrazovne svrhe, njegova distribucija na podzemnim kanalima sugeriše drugačije.

SamsStealer predstavlja značajnu prijetnju privatnosti i bezbednosti korisnika zbog svojih širokih mogućnosti ciljanja i skrivenih operacija. Razumijevanjem porekla, mogućnosti i preporučenih strategija odbrane od SamsStealer zlonamjernog softvera, organizacije mogu bolje da se zaštite od njega i sličnih prijetnji u budućnosti. Korisnici treba da budu informisani o trendovima u sajber bezbjednosti i najboljim praksama kako bi osigurali da njihovo digitalno okruženje ostane bezbjedno.

 

ZAŠTITA

Kako bi se zaštitile organizacije ili lični sistemi od zlonamjernog softvera SamsStealer, preporučuju se sljedeći koraci:

  1. Implementirati napredna rješenja za bezbjednost krajnjih tačaka koja mogu efikasno da identifikuju i neutrališu zlonamjerne aktivnosti. Ova rješenja bi trebalo da obuhvataju otkrivanje prijetnji u realnom vremenu, analizu ponašanja i da imaju mogućnosti automatskog reagovanja,
  2. Osigurati da svi sistemi imaju instaliran ažurirani antivirusni softver radi zaštite od poznatih prijetnji. Redovno ažurirati antivirusne definicije kako bi se osigurala zaštita od novih varijanti SamsStealer zlonamjernog softvera ili sličnog zlonamjernog softvera,
  3. Redovno primjenjivati ispravke i ažuriranja za operativne sisteme, internet pregledače i aplikacije kako bi se riješile ranjivosti koje bi SamsStealer ili druge prijetnje mogli iskoristiti,
  4. Primijeniti segmentaciju mreže kako bi se ograničilo širenje zlonamjernog softvera unutar infrastrukture organizacije. Ovo može pomoći u suzbijanju potencijalnih infekcija i spriječiti da utiču na kritične sisteme,
  5. Obučiti zaposlene o phishing napadima, taktikama društvenog inženjeringa i praksama bezbjednog pregledanja kako se smanjili rizici od infekcije putem priloga elektronske pošte ili zlonamjernih internet lokacija,
  6. Blokirati poznate zlonamjerne IP adrese i saobraćaj iz sumnjivih izvora na krajevima mreže. Primijeniti praćenje zasnovano na ponašanju kako bi se otkrila anomalna aktivnost koja bi mogla da ukaže na infekciju SamsStealer zlonamjernim softverom,
  7. Primjenjujući listu dozvoljenih aplikacija, ograničiti instalaciju aplikacija na krajnjim tačkama, jer one mogu da uvedu ranjivosti ili da posluže kao vektori ulaska za zlonamjerni softver kao što je SamsStealer,
  8. Osigurati redovno pravljenje rezervnih kopija podataka i njihovo bezbjedno čuvanje kako bi se smanjio gubitak podataka u slučaju uspješnog napada,
  9. Razviti plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti kada se sumnja na infekciju, uključujući zadržavanje, iskorjenjivanje, oporavak i izvještavanje,
  10. Biti informisan sa obavještajnim podacima o pratnjama prateći redovno tokove obavještajnih podataka. Ovo omogućava dobijanje informacije o novim prijetnjama kao što je SamsStealer i taktikama koje se koriste. Ovo će pomoći korisnicima i organizacijama da ostanu informisani o novim prijetnjama i da prilagode svoju odbranu u skladu sa tim.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.