Katz Stealer: Prikriveni kradljivac

Katz Stealer je veoma napredan zlonamjerni softver dizajniran da infiltrira sisteme, krade osjetljive podatke i uspostavlja stalnu komunikaciju sa kontrolnim serverima. Karakterišu ga sofisticirane tehnike prikrivanja, mogućnosti geozoniranja i ubacivanje zlonamjernog kôda u legitimne procese (eng. process hollowing), što ga čini značajnim izazovom za bezbjednosne timove koji žele da zaštite svoju imovinu, pokazuje istraživanje kompanije Picus Security.

KATZ STEALER

Katz Stealer je novootkriveni zlonamjerni softver kao usluga (eng. malware-as-a-service – MaaS) za krađu informacija, koji se pojavio 2025. godine. Ovaj zlonamjerni softver izaziva značajnu pažnju u digitalnom prostoru zbog svojih agresivnih mogućnosti krađe pristupnih podataka i prikrivenih mehanizama postojanosti.

Katz Stealer kombinuje nekoliko karakteristika što ga čini atraktivnom opcijom za zlonamjerne aktere koji žele da iskoriste ranjivosti u računarskim sistemima. Njegova sposobnost krađe osjetljivih informacija, kao što su pristupni podaci za prijavu, podaci o kreditnoj kartici i drugi lični podaci, čini ga značajnom prijetnjom, kako za pojedince, tako i za organizacije. Korištenje tehnika sistemskog digitalnog otiska (eng. fingerprinting) omogućava zlonamjernom softveru da prikupi detaljne informacije o kompromitovanom uređaju, uključujući verziju operativnog sistema, tip internet pregledača i instalirani softver.

Jedan od najzabrinjavajućih aspekata Katz Stealer zlonamjernog softvera je njegova jednostavnost korištenja za operatere sa niskim kvalifikacijama. Njegov internet panel omogućava zlonamjernim akterima da generišu prilagođene verzije, prebacuju opcije izbjegavanja, pretražuju evidencije i izvoze ukradene podatke sa relativnom jednostavnošću. Zbog toga je dostupan čak i onima bez opsežnog tehničkog znanja, što može dovesti do šire primjene ovog zlonamjernog softvera.

 

Višefunkcionalne sposobnosti krađe podataka

Mogućnosti Katz Stealer zlonamjernog softvera za krađu podataka sa više funkcija čine ga posebno zabrinjavajućom prijetnjom. Zlonamjerni softver može ukrasti sačuvane lozinke, kolačiće i tokene sesija iz internet pregledača zasnovanih na Chromium i Firefox platformama. To znači da čak i ako su korisnici preduzeli mjere predostrožnosti da zaštite svoje internet identitete, Katz Stealer i dalje može da ugrozi njihove osjetljive informacije. Štaviše, zlonamjerni softver takođe cilja podatke o kriptovalutnim novčanicima iz desktop aplikacija i proširenja internet pregledača, što ga čini značajnom prijetnjom za pojedince koji koriste digitalne valute.

Pored ovih mogućnosti, Katz Stealer je dizajniran da izvlači tokene i podatke sesija sa platformi za razmjenu poruka kao što su Discord i Telegram. Zlonamjerni softver takođe cilja akreditive elektronske pošte od klijenata kao što su Outlook, Foxmail i Windows Live Mail, što ga čini značajnom prijetnjom za pojedince koji koriste ove usluge. Jedan od najzabrinjavajućih aspekata Katz Stealer zlonamjernog softvera je njegov širok domet na različitim platformama i aplikacijama. Pored ciljanja podataka zasnovanih na internet pregledaču, zlonamjerni softver takođe krade VPN, FTP i Wi-Fi podatke za prijavu, kao i sadržaj međuspremnika (eng. clipboard) i snimke ekrana. Osim toga, činjenica da Katz Stealer može da ukrade podatke o nalozima igara sa platformi poput Steam znači da čak ni igrači nisu imuni na ovu prijetnju.

Distribuirana putem phishing kampanja i preuzimanja lažnog softvera, ova prijetnja je projektovana za maksimalnu prikrivenost, modularnu isporuku korisnog tereta (eng. payload) i brzu krađu podataka. Zbog svega navedenog, sposobnost Katz Stealer zlonamernog softvera da ugrozi osjetljive informacije na više platformi čini ga značajnom opasnošću za svakoga ko na bilo koji način koristi digitalne usluge.

 

Funkcionisanje

Katz Stealer je napredni zlonamjerni softver koji ima sposobnosti da izbjegne tradicionalne bezbjednosne mjere i lako inficira sisteme. Lanac napada ovog zlonamjernog softvera predstavlja pravu majstoriju prikrivanja, odvijajući se kroz više pažljivo osmišljenih faza koje su dizajnirane da izbjegnu detekciju antivirusnih softvera i drugih alata za sajber bezbjednost.

Prva faza počinje zlonamjernom GZIP arhivom koja sadrži zamagljeni JavaScript ubacivač. Ova skripta koristi obmanjujuće tehnike kôdiranja kao što su prisilna konverzija tipova (eng. type coercion) i polimorfno spajanje (eng. polymorphic concatenation) kako bi sakrila svoju pravu namjeru, što otežava bezbjednosnim softverima da prepoznaju prisustvo zlonamjernog softvera. Kada se jednom pokrene, skripta aktivira PowerShell sa skrivenim parametrima kako bi preuzela naizgled bezazlenu slikovnu datoteku sa platformi poput Archive.org. Međutim, to je samo varka – pravi korisni teret se zapravo nalazi u slici i iz nje se izvlači korišćenjem steganografije, pri čemu se dobija base64 kôdirani .NET program za učitavanje.

Ovaj .NET program za učitavanje vrši provjere geozoniranja i izolovanog okruženja (eng. sandbox) kako bi izbjegao Zajednice nezavisnih država (ZND) i označavajući virtualizovane sisteme prije nego što iskoristi zaobilaženje kontrole korisničkog naloga (eng. User Account Control bypass) preko alata cmstp.exe da bi dobio povećane privilegije. Završna komponenta, tj. sam kradljivac podatka, ubrizgava se u legitimne procese poput MSBuild.exe putem tehnike preuzimanja procesa (eng. process hollowing), osiguravajući da radi ispod radara dok uspostavlja stalnu komunikaciju sa serverima za komandu i kontrolu (C2).

 

Otisak sistema

Stvaranje otisaka sistema označava proces prikupljanja informacija o inficiranom uređaju bez direktne interakcije sa korisnikom. Kada je u pitanju Katz Stealer zlonamjerni softver, otisak sistema igra ključnu ulogu u prikupljanju osnovnih informacija o uređaju domaćinu prije nego što se pokrene dalja eksploatacija. To podrazumijeva dobijanje povišenih privilegija i prikupljanje informacija o uređaju, uključujući verziju njegovog operativnog sistema, arhitekturu i druge relevantne detalje.

Kada se jednom pokrene sa povišenim privilegijama, kradljivac uspostavlja i trajnu komunikaciju sa komandno-kontrolnim (C2) serverima koristeći TCP i HTTPS protokole. Zanimljivo je da koristi prilagođene User-Agent nizove koji sadrže oznaku “katz-ontop” kako bi se identifikovao tokom komunikacije. Stalna komunikacija sa C2 serverima omogućava Katz Stealer zlonamjernom softveru da dobije dodatne module za dalju eksploataciju, čineći napad još naprednijim i težim za otkrivanje.

Ovo je klasičan primjer kako zlonamjerni akteri mogu da iskoriste tehnike otiska sistema kako bi prikupili informacije o ciljnim sistemima i prilagodili napade u skladu sa tim.

 

Mehanizam postojanosti

Jedan od najzanimljivijih aspekata Katz Stealer zlonamjernog softvera jeste njegova sposobnost da iskoristi povjerljivu aplikaciju kao što je Discord i pretvori je u mehanizam za trajni pristup sistemu. Ova funkcionalnost pokazuje visok nivo naprednosti i prilagodljivosti zlonamjernog softvera u uspostavljanju dugoročne kontrole nad kompromitovanim računarima.

Proces počinje lociranjem instalacionog direktorijuma aplikacije i ubrizgavanjem zlonamjernog koda u datoteku koja se izvršava tokom procesa pokretanja Discord aplikacije. Ovo ubrizgavanje je besprijekorno, jer oponaša legitimnu mrežnu aktivnost, što otežava otkrivanje korisnicima ili bezbjednosnom softveru. Ubrizgani kôd uspostavlja tajni komunikacioni kanal sa infrastrukturom koju kontroliše zlonamjerni akter kroz naizgled legitiman Discord saobraćaj. Da bi dodatno prikrio svoje prisustvo, Katz Stealer ubacuje JavaScript kôd koji izvršava HTTPS zahteve domenima kao što je twist2katz.com, koristeći prilagođeni User–Agent niz koji oponaša saobraćaj Chrome internet pregledača, a uključuje i prepoznatljivi identifikator “katz-ontop”.

Ovaj pristup je posebno podmukao, jer transformiše pouzdanu aplikaciju u postojani mehanizam za tajni pristup. Koristeći povjerenje korisnika u Discord aplikaciju, Katz Stealer pruža zlonamjernim akterima pouzdan način održavanja pristupa sistemu za buduće operacije, implementaciju kôda ili dodatne aktivnosti izvlačenja podataka. Mehanizam postojanosti se pokazao efikasnim zbog činjenice da se Discord aplikacija često pokreće pri pokretanju sistema, automatski ponovo uspostavljajući vezu sa softverom za tajni pristup čak i ako se primarni proces zlonamjernog softvera završi.

 

Uticaj

Pojava Katz Stealer zlonamjernog softvera ima značajan uticaj na sajber bezbjednost. Ova zlonamjerni softver koji funkcioniše po modelu zlonamjerni softver kao usluga (MaaS) predstavlja značajnu evoluciju u alatima za sajber kriminal, nudeći zlonamjernim akterima pristupačno, ali moćno sredstvo za kompromitovanje sistema i krađu osjetljivih podataka na više platformi i aplikacija.

Napredne mogućnosti stvaranja otiska sistema Katz Stealer zlonamjernom softver omogućavaju da otkrije i izbjegne okruženja za analizu, što sigurnosnim istraživačima otežava proučavanje zlonamjernog softvera. Prijetnja vrši sveobuhvatne provjere geozoniranja, ciljajući sisteme van zemalja Zajednice nezavisnih država (ZND), dok procjenjuje karakteristike sistema kako bi izbjegao virtualizovane sisteme.

Uticaj zlonamjernog softvera proteže se na brojne vektore napada, uključujući preko 78 varijanti internet pregledača za ekstrakciju pristupnih podataka, aplikacije za kriptovalutne novčanike, platforme za razmjenu poruka i klijente elektronske pošte. Neposredno izvlačenje ukradenih podataka putem stalnih kanala komande i kontrole osigurava da zlonamjerni akteri mogu brzo monetizovati svoje napade, čak i ako se infekcija otkrije i sanira ubrzo nakon kompromitovanja. Ovo ističe potrebu za robusnim bezbjednosnim mjerama kako bi se spriječile početne infekcije i blagovremeno otkrili potencijalni propusti.

Široko rasprostranjena distribucija Katz Stealer zlonamjernog softvera putem phishing kampanja i prikrivenih preuzimanja softvera naglašava potrebu da korisnici ostanu oprezni kada komuniciraju sa nepoznatim izvorima na mreži. Kako sigurnosni istraživači nastavljaju da proučavaju ovu evoluirajuću prijetnju, neophodno je priznati njen potencijalni uticaj na globalne napore u oblasti sajber bezbjednosti.

 

ZAKLJUČAK

Analiza Katz Stealer otkriva njegov sofisticirani dizajn i širok spektar mogućnosti. Ciljajući različite platforme i aplikacije, uključujući klijente elektronske pošte poput Outlook i Windows Live Mail, ovaj zlonamjerni softver predstavlja značajnu prijetnju pojedincima koji koriste ove servise. Činjenica da može da ukrade podatke za prijavu na VPN, FTP servisa i Wi-Fi mreža, kao i sadržaj međuspremnika i snimke ekrana, dodatno naglašava njegov potencijal za ugrožavanje korinika.

Osim toga, lakoća kojom se Katz Stealer distribuira putem phishing kampanja i preuzimanja lažnog softvera sugeriše namjerni napor da se poveća prikrivenost i smanji otkrivanje. Ova analiza je istakla nekoliko ključnih karakteristika ovog zlonamjernog softvera, uključujući upotrebu tehnika zamagljivanja poput prisilne konverzija tipova i polimorfnog spajanja kako bi se izbjegle bezbjednosne mjere.

Činjenica da Katz Stealer može da cilja korisnike na više platformi, uključujući platforme za igre poput Steam, ukazuje na širok obim potencijalnih žrtava. Generalno, ispitivanje Katz Stealer zlonamjernog softvera pružilo je vrijedne uvide u mogućnosti i taktike ovog zlonamjernog softvera, naglašavajući njegov značaj kao predmeta proučavanja u istraživanju sajber bezbjednosti.

 

ZAŠTITA

Kako bi se efikasno suprotstavili se prikrivenom i na krađu podataka orijentisanom zlonamjernom softveru Katz Stealer, neophodan je višeslojni pristup. Evo nekoliko preporuka za zaštitu:

1. Uspostavljanje efikasne bezbjednosne pozicije počinje budnim posmatranjem svih dolaznih i odlaznih veza unutar mreže organizacije. Koristiti napredne alate za otkrivanje prijetnji da bi se identifikovali svi neobični obrasci ili anomalije koje bi mogle ukazivati na prisustvo Katz Stealer zlonamjernog softvera;
2. Primijeniti snažne bezbjednosne mjere za pregledanje interneta, kao što su uključivanje opcije Enhanced Protection u Google Chrome, aktiviranje SmartScreen filtera u Microsoft Edge ili korištenje Enhanced Tracking Protection funkcije u Mozilla Firefox internet pregledačima. Ove mjere pomažu u sprečavanju krađe pristupnih podataka i drugih zlonamjernih aktivnosti koje Katz Stealer može pokušati putem napada usmjerenih na internet pregledače;
3. Uspostaviti kulturu minimalnih privilegija unutar organizacije sprovođenjem strogih kontrola pristupa osjetljivim podacima i sistemima. Ograničiti korisničke privilegije samo na ono što je neophodno, smanjujući površinu napada dostupnu zlonamjernim akterima poput onih koji stoje iza Katz Stealer zlonamjernog softvera;
4. Uvjeriti se da svi uređaji u mreži koriste ažurirane verzije svojih operativnih sistema i aplikacija. Ovo će pomoći u sprečavanju eksploatacije poznatim ranjivostima koje se koriste u napadima Katz Stealer zlonamjernog softvera.
5. Obrazovati korisnike o rizicima povezanim sa phishing napadima, taktikama društvenog inženjeringa i drugim vektorima napada koje često koriste zlonamjerni akteri koji stoje iza Katz Stealer zlonamjernog softvera. Podstaknuti zaposlene da prijavljuju sumnjive aktivnosti ili elektronsku poštu koji bi mogli ukazivati na tekući napad;
6. Redovno simulirati napade na sisteme organizacije kako bi se otkrile potencijalne ranjivosti koje bi Katz Stealer mogao da iskoristi. Ovaj proaktivni pristup omogućava da se organizacija pozabavi slabostima prije nego što ih zlonamjerni softver ili zlonamjerni akteri iskoriste;
7. Redovno procjenjivati plan odgovora na sajber prijetnje organizacije kako bi se osiguralo da je sposobna da efikasno reaguje na potencijalnu infekciju zlonamjernim softverom Katz Stealer ili slične bezbjednosne incidente u budućnosti;
8. Programeri koji stoje iz Katz Stealer zlonamjernog softvera kontinuirano ažuriraju svoj zlonamjerni softver novim tehnikama i mogućnostima izbjegavanja. Stoga je važno biti u toku sa najnovijim obavještajnim podacima o prijetnjama u vezi sa ovim određenim sojem zlonamjernog softvera, što omogućava bezbjednosnom timu da predvidi i suprotstavi se njegovim evoluirajućim taktikama.