新窃取程序——NS-STEALER，可使用 Discord 机器人从流行浏览器中窃取敏感数据

网络安全研究人员发现了一种新的基于 Java 的“复杂”信息窃取程序，它使用 Discord 机器人从受感染的主机中窃取敏感数据。

该恶意软件名为NS-STEALER，通过伪装成破解软件的ZIP档案传播，Trellix安全研究员Gurumoorthi Ramanathan在上周发表的一份分析中说。

ZIP 文件包含一个流氓 Windows 快捷方式文件（“Loader GAYve”），该文件充当部署恶意 JAR 文件的管道，该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。

该恶意软件随后将屏幕截图、cookie、凭据和从二十多个网络浏览器窃取的自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据保存到此文件夹中。然后，捕获的信息被泄露到 Discord Bot 频道。

Ramanathan说：“考虑到收集敏感信息并使用X509Certificate支持身份验证的高度复杂的功能，这种恶意软件可以通过[Java Runtime Environment]快速从受害者系统中窃取信息。

“Discord 机器人频道作为 EventListener 用于接收泄露数据也具有成本效益。”

这一发展是在 Chaes（又名 Chae$）恶意软件背后的威胁行为者发布信息窃取程序的更新（4.1 版）之际发布的，该更新改进了其 Chronod 模块，该模块负责窃取在 Web 浏览器中输入的登录凭据并拦截加密交易。

根据 Morphisec 的说法，分发恶意软件的感染链利用以葡萄牙语编写的法律主题电子邮件诱饵来欺骗收件人点击虚假链接以部署恶意安装程序以激活 Chae$ 4.1。

但有趣的是，开发人员还给安全研究员阿诺德·奥西波夫（Arnold Osipov）留下了信息，他过去曾广泛分析过Chaes，感谢他们帮助他们直接在源代码中改进他们的“软件”。

来源：黑客新闻