Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (2024)



SUMÁRIO EXECUTIVO

Na CYFIRMA, fornecemos insights oportunos sobre ameaças prevalentes e táticas maliciosas que impactam organizações e indivíduos. Nossa equipe de pesquisa descobriu recentemente um arquivo RAR na natureza, provavelmente distribuído por e-mails de spam ou phishing. Este arquivo contém um binário de carregador que, após a infecção, implanta scripts em lote e PowerShell projetados para coletar informações confidenciais do usuário. Além disso, esses scripts tentam baixar um binário malicioso extra, identificado como Kematian-Stealer. Este ladrão está disponível como uma ferramenta de código aberto em um repositório GitHub, que também hospeda outros scripts maliciosos relacionados na mesma conta. Notavelmente, a ferramenta está em constante desenvolvimento e atualizações.

O Kematian-Stealer está sendo ativamente desenvolvido e distribuído como uma ferramenta de código aberto no GitHub. Nossa investigação revelou que o código-fonte do stealer, scripts relacionados e um construtor para gerar binários maliciosos estão hospedados na conta do GitHub “Somali-Devs”. Contribuições significativas do usuário KDot227 sugerem uma ligação próxima entre esta conta e o desenvolvimento do stealer. Esses scripts e o stealer são projetados para extrair secretamente dados confidenciais de usuários e organizações desavisados.

INTRODUÇÃO

O cenário de ameaças na segurança cibernética está em constante evolução, com ladrões de informações se tornando uma ferramenta cada vez mais comum entre os criminosos cibernéticos. Esses programas maliciosos são projetados para coletar secretamente informações confidenciais das vítimas, tornando-os uma escolha popular devido à sua eficácia e acessibilidade.

Recentemente, a equipe de pesquisa da CYFIRMA identificou um novo e sofisticado ladrão de informações chamado “Kematian-Stealer”. Hospedado no GitHub sob a conta “Somali-Devs”, esse ladrão é distribuído como uma ferramenta de código aberto, com contribuições significativas do usuário KDot227. Este relatório se aprofunda nos detalhes de nossa análise, destacando as táticas, técnicas e procedimentos (TTPs) empregados pelo ladrão e seu impacto.

“Kematian-Stealer” representa uma ameaça sofisticada e em evolução no reino dos ladrões de informações, visando sistemas Windows. Esta ferramenta maliciosa, distribuída como código aberto no GitHub, é uma prova da tendência crescente de criminosos cibernéticos que alavancam plataformas publicamente acessíveis para propósitos nefastos. O Kematian-Stealer foi projetado para extrair secretamente uma ampla gama de informações confidenciais dos computadores das vítimas.

Este relatório se aprofunda nas características detalhadas do Kematian-Stealer, incluindo seu mecanismo de implantação, processo de execução e os tipos específicos de informações que ele tem como alvo. Exploramos sua capacidade de coletar dados de vários aplicativos de mensagens, plataformas de jogos, serviços VPN, clientes de e-mail, clientes FTP, gerenciadores de senhas e carteiras de criptomoedas. Além disso, analisamos seus métodos para manter a persistência, evitar a detecção e exfiltrar dados coletados por meio de webhooks do Discord.

Ao fornecer uma visão geral abrangente da funcionalidade do Kematian-Stealer e seu impacto potencial na segurança cibernética, este relatório visa informar e equipar organizações com o conhecimento necessário para se defender contra tais ameaças. As opções contínuas de desenvolvimento e personalização disponíveis por meio de seu repositório GitHub ressaltam a necessidade de medidas de segurança cibernética vigilantes e proativas para mitigar os riscos apresentados por esta e outras ferramentas maliciosas semelhantes.

PONTOS CHAVE

  • Kematian-Stealer representa um novo ladrão de informações desenvolvido ativamente no GitHub e disseminado como software de código aberto.
  • O código-fonte e os arquivos que o acompanham para Kematian-Stealer estão armazenados no GitHub na conta “Somali-Devs”, com contribuições de quatro desenvolvedores, liderados principalmente por KDot227.
  • O carregador inicial implanta um script em lote para executar ações maliciosas. O script em lote cria um script do PowerShell para executar várias tarefas, incluindo:
    • Adicionando diretórios à lista de exclusão do Windows Defender.
    • Criando uma tarefa agendada para persistência.
    • Coletando informações do sistema e enviando-as para um webhook do Discord.
    • Tentando baixar e executar uma carga secundária (main.exe) do GitHub.
  • As capacidades do Kematian-Stealer incluem:
    • Extrai informações confidenciais de vários aplicativos, incluindo aplicativos de mensagens, plataformas de jogos, serviços VPN, clientes de e-mail, clientes FTP, gerenciadores de senhas e carteiras de criptomoedas.
    • Direciona e copia dados relevantes para diretórios designados.
    • Captura imagens usando a webcam e capturas de tela da área de trabalho do usuário.
    • Processa arquivos de cookie e compacta os dados coletados em um arquivo ZIP para exfiltração.
    • Exclui arquivos temporários e o script do PowerShell executado para minimizar evidências.
  • O construtor para Kematian-Stealer é hospedado no GitHub e permite que os usuários personalizem e implantem o malware. Os usuários podem configurar recursos e inserir detalhes do servidor C2 por meio de uma interface da web.
  • Ele usa técnicas de execução na memória para evitar detecção. Baixa e executa scripts e payloads adicionais diretamente na memória.

ATRIBUIÇÃO ETLM

A equipe de pesquisa da CYFIRMA se dedica à investigação contínua de ameaças emergentes, malware e táticas, técnicas e procedimentos (TTPs) usados ​​por agentes maliciosos. Monitoramos diligentemente as ameaças atuais, rastreamos campanhas em andamento, avaliamos sua progressão e ficamos alertas a novos desenvolvimentos neste cenário dinâmico. Recentemente, identificamos um novo ladrão de informações, “Kematian-Stealer”, que está em constante desenvolvimento no GitHub e está sendo distribuído como código aberto.

O código-fonte e outros arquivos do “Kematian-Stealer”, junto com seu construtor, estão hospedados no GitHub na conta “Somali-Devs.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (3)

Embora haja quatro colaboradores no código, o envolvimento principal vem do KDot227.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (4)

Em nossa análise, descobrimos a URL “https[:]//github[.]com/KDot227/Powershell-Token-Grabber/releases/download/Fixed_version/main[.]exe” usada para baixar “main.exe.” Esta URL redirecionava para um novo link “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/Fixed_version/main[.]exe,” estabelecendo uma conexão entre as contas KDot227 e Somali-Devs. A contribuição significativa do KDot227 para o desenvolvimento do Kematian-Stealer sugere que essas contas provavelmente são gerenciadas pelo mesmo indivíduo ou por colaboradores intimamente ligados.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (5)

A seguir estão os recursos mencionados pelos autores na conta do GitHub para Kematian-Stealer:

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (6)

No cenário de ameaças, os ladrões de informações têm se tornado cada vez mais prevalentes. Essas ferramentas maliciosas são projetadas para extrair secretamente dados confidenciais de indivíduos e organizações desavisados. Eles estão amplamente disponíveis para compra em fóruns clandestinos e geralmente são distribuídos gratuitamente ou disponibilizados como projetos de código aberto em plataformas como o GitHub. Essa disponibilidade os torna uma escolha popular entre os criminosos cibernéticos devido à sua acessibilidade e eficácia em comprometer sistemas de computador.

Alarmantemente, o código-fonte e os scripts relacionados do Kematian-Stealer são facilmente acessíveis no GitHub e são considerados uma ferramenta educacional.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (7)

Embora não estejamos revelando qual é a real intenção do autor, essa tática enganosa é comumente usada por criadores de malware, que exploram plataformas como o GitHub sob o disfarce de ferramentas “educacionais”, contribuindo assim para a disseminação de ameaças cibernéticas, já que alguém com más intenções pode usar indevidamente e personalizar esses ladrões de código aberto ou disponíveis gratuitamente.

O construtor também está disponível para criar o binário com várias opções, oferecendo aos agentes de ameaças a capacidade de personalizar e implantar o malware para seus propósitos maliciosos. Dada a crescente demanda por ladrões de informações, é crucial que as organizações implementem medidas robustas de segurança cibernética para proteger seus sistemas e dados. Atualizações regulares, senhas fortes, autenticação multifator e soluções abrangentes de segurança de endpoint são essenciais no combate a essas ameaças cibernéticas.

ANÁLISE:

Detalhes básicos:
MD5: 736376a77af0a4eb7108ba02d989c137
SHA-256: e7cec26b659674a5cb75cf03e6046f2e1f25b52fe0ba36214a8e4864e0cccb53
Tipo de arquivo: arquivo RAR

Contém o carregador malicioso
MD5: 02f3b7596cff59b0a04fd2b0676bc395
SHA-256: cf2affe891d09bf79c912e9dc1e6cd4d4f8fc4f9579876c54d11a4344d5446fb
Tipo de arquivo: Win32 EXE

Informações básicas:
O binário é um executável de 64 bits com carimbo de compilação de 30 de julho de 2019. Ele contém um script em lote ofuscado na seção de recursos.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (8)

Após a execução, ele descriptografa e cria um arquivo em lote no local “C:\Usuários\Nome de usuário\AppData\Local\Temp\E3CE.tmp” com nomes aleatórios como “E3D0.bat”, “FDDA.bat” (hash md5: D2EA85153D712CCE3EA2ABD1A593A028).

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (9)

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (10)

Este script em lote foi projetado para executar uma sequência de ações maliciosas para comprometer sistemas Windows, coletar informações confidenciais e enviá-las para um webhook predefinido do Discord. O script começa verificando se está sendo executado com privilégios administrativos e, se não estiver, reinicia-se com permissões elevadas.
Uma vez executado com os privilégios necessários, ele cria um script do PowerShell (powershell.ps1, hash md5: A3619B0A3EE7B7138CEFB9F7E896F168) no diretório de trabalho atual que executa várias tarefas:

  • Confirma que o script está sendo executado com direitos administrativos.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (11)

  • Adiciona diretórios específicos (Temp e um diretório personalizado em APPDATA) à lista de exclusão do Windows Defender para impedir a detecção de atividades maliciosas.
  • Cria um diretório (percs) na pasta APPDATA, copia a si mesmo (powershell.ps1) para esse novo diretório e o renomeia para percs.ps1.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (12)

Em seguida, ele verifica se existe uma tarefa agendada chamada percs e a cria caso não exista, garantindo que o script seja executado na inicialização do sistema com os privilégios mais altos.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (13)

Reúne várias informações do sistema, incluindo endereço IP público, informações do sistema, UUID, endereço MAC, nome de usuário, nome do host e conexões de rede, salvando esses dados em arquivos temporários.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (14)

Constrói um payload JSON detalhado com as informações coletadas sobre o sistema da vítima (IP, nome de usuário, nome do host, UUID, endereço MAC) e o envia para um webhook do Discord. O payload inclui campos formatados e um embed com metadados adicionais, garantindo que as informações sejam apresentadas de forma estruturada e visualmente atraente no Discord. Isso faz parte do processo de exfiltração, enviando dados confidenciais para o servidor Discord do invasor “webhook: https[:]//ptb[.]discord[.]com/api/webhooks/1247594902611562546/VpMh55OYaqHByOG1Q8vjiiF_seZ3lgXeGdLWhpxfr2UlP261GpZWDiu4lqiTNyAvsrs-“, url: “https[:]//discord[.]gg/vk3rBhcj2y”.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (15)

Encerra quaisquer instâncias em execução do Discord e aplicativos relacionados para evitar interferência com a coleta de dados. Tenta excluir o aplicativo DiscordTokenProtector e seus dados associados, se existirem no sistema.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (16)

Tenta baixar o executável “main.exe”, possivelmente o payload principal de um repositório GitHub “https[:]//github[.]com/KDot227/Powershell-Token-Grabber/releases/download/Fixed_version/main[.]exe” e o executa com argumentos. O link é redirecionado para “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/Fixed_version/main[.]exe”. No entanto, no momento da análise, esta URL retorna um erro 404, indicando que o arquivo não está mais disponível. Apesar disso, é importante observar que a funcionalidade do script baixa e executa um payload secundário, que normalmente seria usado para executar atividades maliciosas adicionais iniciadas pelo script original.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (17)

Move os arquivos de dados coletados para um diretório designado (percs), compacta-os em um arquivo ZIP e envia esse arquivo para o webhook do Discord. Por fim, ele limpa removendo os arquivos temporários e o executável baixado “main.exe”.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (18)

O script executa essas tarefas secretamente, definindo a política de execução do PowerShell como irrestrita e executando o script do PowerShell em uma janela oculta e não interativa. O script “powershell.ps1” é excluído após a execução para minimizar evidências de atividade maliciosa.

A seguir está a árvore de processos correspondente à execução do binário do carregador e à execução subsequente do script do PowerShell e das operações definidas acima.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (19)

Conforme mencionado anteriormente, durante a execução do script do PowerShell, ele tenta baixar um payload secundário chamado main.exe do GitHub para executar ações maliciosas adicionais na máquina da vítima. A URL especificada no script do PowerShell é:

“https[:]//github[.]com/KDot227/Powershell-Token-Grabber/releases/download/Fixed_version/main[.]exe” que é redirecionado para “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/Fixed_version/main[.]exe”.

No entanto, no momento da análise, esta URL retorna um erro 404, indicando que o arquivo não está mais disponível. Isso fornece uma indicação de que o payload secundário está hospedado no repositório GitHub em:

“https[:]//github[.]com/Somali-Devs/Kematian-Stealer/” que anteriormente hospedava como um PowerShell token grabber em “https[:]//github[.]com/KDot227/Powershell-Token-Grabber/”.

Portanto, agora explicaremos melhor a funcionalidade e os recursos do “Kematian-Stealer” com base no código-fonte disponível no repositório do GitHub.

No repositório do GitHub para “Kematian-Stealer”, as instruções de uso fornecem um guia claro sobre como implantar e configurar o malware. Os usuários podem baixar o construtor de “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/AutoBuild/main[.]exe”. Atualmente, no momento da redação do relatório, ele não está funcionando, mas durante nossa fase de análise, conseguimos baixar este arquivo (md5 hash: 18b5977b1a59c585f00ed7dca0fa81c9). O repositório está em constante atualização.

Após a execução, o construtor gera automaticamente uma chave privada e um certificado, que são armazenados no diretório “appdata\Kematian-Stealer”. O construtor também inicia um servidor local que roda em “https[:]//127[.]0[.]0[.]1[:]8080” por padrão e abre automaticamente um navegador da web para navegar até https[:]//127[.]0[.]0[.]1[:]8080 e você pode acessar a interface do construtor em “https[:]//127[.]0[.]0[.]1[:]8080/builder” ou pressionando a aba do construtor.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (20)

Aqui, o usuário pode inserir os detalhes do servidor de Comando e Controle (C2) na seção URL do TÚNEL TCP. Os usuários podem selecionar os recursos que desejam incluir no payload ativando as caixas de seleção correspondentes. Após configurar os recursos desejados, o usuário clica no botão “build” e o payload de saída (stub) é colocado na mesma pasta do builder. Os logs das operações são salvos no diretório $env:appdata\Kematian-Stealer\logs.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (21)

O progresso da configuração do servidor, erros e outros progressos são mostrados em uma janela separada.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (22)

Durante a construção do novo stub/payload para Kematian-Stealer, ocorre o seguinte erro:

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (23)

O construtor está tentando acessar a URL no repositório GitHub para acessar o arquivo “main.ps1” em “https[:]//github[.]com/ChildrenOfYahweh/Kematian-Stealer/main/frontend-src/main.ps1” e falhou devido à indisponibilidade neste endereço e erro de falha do certificado SSL. Conseguimos acessar o arquivo no endereço do repositório GitHub ativo “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/blob/main/frontend-src/main.ps1” e explorar mais a funcionalidade.

O script do PowerShell “main.ps1” funciona de acordo com as escolhas selecionadas pelo usuário na interface do construtor, como se uma caixa de seleção específica está marcada ou não, por exemplo, caixa de seleção para depuração, caixa de seleção de erro falso marcada ou não e assim por diante, e é executado de acordo. Ele também baixa e executa scripts/payloads adicionais de diferentes URLs, como “https[:]//github.com/Somali-Devs/Kematian-Stealer/raw/main/frontend-src/antivm[.]ps1” para implementar o Anti-VM e outras funcionalidades.

O script inicializa várias variáveis ​​de configuração, como $webhook, $debug, $blockhostsfile, $criticalprocess, $melt, $fakeerror, $persistence, $write_disk_only, $vm_protect e $encryption_key. Essas variáveis ​​controlam o comportamento do script e seus vários recursos maliciosos. Ele define os protocolos de segurança para garantir a compatibilidade com diferentes versões de TLS (Tls, Tls11, Tls12, Ssl3).

Se a depuração estiver habilitada, ela mostra o progresso; caso contrário, ela suprime erros e mensagens de progresso. Se o sinalizador Critical Process estiver definido, ele marca o script como um processo crítico do sistema, tornando mais difícil encerrá-lo sem causar instabilidade do sistema. Se o sinalizador de erro falso estiver habilitado, uma mensagem de erro falsa (“O programa não pode ser iniciado porque MSVCP110.dll está faltando no seu computador. Tente reinstalar o programa para corrigir este problema.”) é exibida para enganar o usuário.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (24)

O script garante que apenas uma instância do malware a qualquer momento esteja usando um mutex nomeado. Se uma instância já estiver em execução, o script será encerrado. Ele tenta ignorar a Windows Antimalware Scan Interface (AMSI) e o Event Tracing for Windows (ETW) e verifica se o script está sendo executado com privilégios administrativos. O script adiciona diretórios específicos ($env:LOCALAPPDATA\Temp e, se a persistência estiver definida, $env:APPDATA\Kematian) à lista de exclusão do Windows Defender para evitar a detecção de atividades maliciosas e também define seus atributos como ocultos e de sistema. Ele cria uma tarefa agendada chamada “Kematian” que garante que o script seja executado na inicialização do sistema com os privilégios mais altos. Se o sinalizador blockhostsfile estiver habilitado, ele baixa e executa o script do PowerShell de “https[:]//github[.]com/ChildrenOfYahweh/Kematian-Stealer/raw/main/frontend-src/blockhosts[.]ps1”, que é redirecionado para “https[:]//raw[.]githubusercontent[.]com/Somali-Devs/Kematian-Stealer/main/frontend-src/blockhosts[.]ps1” para modificar o arquivo de hosts do sistema, potencialmente bloqueando o acesso a determinados domínios.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (25)

O script bloqueador de host baixado foi projetado para bloquear o acesso a domínios associados a antivírus e software de segurança. Ao redirecionar esses domínios para 0.0.0.0, ele impede que o sistema se conecte a esses sites. Além disso, ele encerra à força instâncias em execução de navegadores populares, dificultando ainda mais a capacidade do usuário de acessar recursos de segurança e potencialmente remediar o sistema.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (26)

Ele baixa e executa o script da URL “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/raw/main/frontend-src/antivm[.]ps1” para verificar se o ambiente é virtualizado.

O script baixado antivm.ps1 verifica se o malware está sendo executado em um ambiente virtualizado. Ele recupera e concatena os endereços MAC de todos os adaptadores de rede ativos no sistema, busca o endereço IP público do sistema usando uma API externa (api[.]ipify[.]org), testa a conexão de internet do sistema executando ping no Google[.]com. Se a conexão falhar, ele exibe uma mensagem de erro e encerra o script. Ele conta o número total de processos em execução no sistema. Se a contagem for menor que 50, ele exibe uma mensagem de erro e encerra o script. Ele também verifica a atividade de arquivo recente no diretório AppData do usuário. Se menos de 20 arquivos forem encontrados, ele exibe uma mensagem de erro e encerra o script, e calcula o tamanho total de todas as unidades não pertencentes ao sistema. Se o tamanho total for menor que 50 GB, ele exibe uma mensagem de erro e encerra o script, recupera o ID de hardware (UUID) do sistema e busca o nome de usuário do usuário conectado no momento.

Ele combina os resultados de Search-Mac, Search-IP, Search-HWID e Search-Username em uma matriz. Busca itens na lista negra (endereços MAC, IPs, HWIDs, nomes de usuários) de URLs especificados:
“https[:]//raw[.]githubusercontent[.]com/6nz/virustotal-vm-blacklist/main/mac_list[.]txt”,
“https[:]//raw[.]githubusercontent[.]com/6nz/virustotal-vm-blacklist/main/ip_list[.]txt”,
“https[:]//raw[.]githubusercontent[.]com/6nz/virustotal-vm-blacklist/main/hwid_list[.]txt”,
“https[:]//raw[.]githubusercontent[.]com/6nz/virustotal-vm-blacklist/main/pc_username_list[.]txt”
e os compara com os dados coletados. Se uma correspondência for encontrada, ele exibe uma mensagem de erro específica para o item na lista negra e encerra o script. Ele também calcula a RAM total instalada no sistema. Se for menor que 6 GB, ele exibe uma mensagem de erro e encerra o script.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (27)

O script baixado do antivm verifica ainda mais a presença de processos específicos associados a ferramentas de depuração e ambientes de máquinas virtuais. Se qualquer um desses processos for encontrado em execução, ele exibe uma mensagem de erro, encerra os processos e sai do script.

O script antivm foi projetado para impor medidas de segurança rigorosas, impedindo sua execução em ambientes virtualizados ou sandboxes, comumente usados ​​para análise de malware ou engenharia reversa.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (28)

Além disso, nosso script principal “main.ps1” verifica continuamente os privilégios administrativos. Se o script não estiver sendo executado com direitos de administrador, ele tenta se reiniciar com privilégios elevados. Ele reúne e organiza vários dados do sistema e do usuário para exfiltração. Cria diretórios específicos dentro do caminho APPDATA do usuário para armazenar os dados coletados. Coleta informações abrangentes do sistema, incluindo detalhes da rede, versão do sistema operacional, especificações de hardware, software instalado, processos em execução, serviços e muito mais.

Além disso, ele recupera informações do adaptador de rede, aplicativos de inicialização e serviços em execução. Busca e formata informações relacionadas à rede, incluindo endereço IP, localização, ISP e status de VPN/proxy, calcula o tempo de atividade do sistema, lista produtos antivírus instalados, fornece informações detalhadas sobre uso e capacidade do disco e informações de WiFi.

O script é um script abrangente do PowerShell projetado para extrair dados de sessão e configuração de vários aplicativos de mensagens e jogos instalados no sistema de um usuário. O script tem como alvo vários aplicativos, verificando se seus respectivos diretórios existem e, em seguida, copiando os arquivos relevantes para os locais designados.

Ele verifica vários aplicativos de mensagens, incluindo Telegram, WhatsApp e aplicativos de videoconferência como o Skype. Ele verifica a existência do diretório de dados do Telegram. Se o processo do Telegram estiver em execução, ele recupera o ID e o caminho do processo, interrompe o processo e copia arquivos pequenos específicos e certos arquivos de configuração de chave para um novo diretório. Ele verifica o diretório de dados do Signal e copia os arquivos sql, attachments.noindex e config.json para um local designado. Ele verifica o diretório de dados do Viber, identifica diretórios com nomes numéricos e copia arquivos .db e .db-wal relevantes. Ele cria um diretório designado para o WhatsApp e pesquisa os dados do aplicativo dentro dos dados do aplicativo local do usuário.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (29)

Ele verifica o diretório de dados do Skype e copia o diretório do Local Storage. Ele também verifica o diretório de dados do cliente de bate-papo do Pidgin e copia o arquivo accounts.xml. Reúne o diretório de dados do aplicativo de mensagens instantâneas Tox e copia todo o conteúdo. Ele verifica o diretório de instalação do Steam e copia o diretório config e arquivos específicos. O script pode manipular diferentes aplicativos, garantindo que qualquer sessão relevante ou dados de configuração sejam sistematicamente copiados para diretórios predefinidos.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (30)

Ele extrai ainda informações sensíveis de vários aplicativos no sistema da vítima. Isso inclui credenciais, arquivos de configuração e outros dados pertinentes relacionados a plataformas de jogos, serviços VPN, clientes de e-mail, clientes FTP, gerenciadores de senhas e carteiras de criptomoedas. Ele coleta e copia dados como informações de conta, senhas, dados de sessão e arquivos de carteira para diretórios específicos.

Ele extrai dados de sessão e informações de conta de vários inicializadores do Minecraft e os armazena em uma pasta especificada.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (31)

Ele copia arquivos de configuração, logs e dados do Epic Games Launcher, copia dados do diretório do Ubisoft Game Launcher, copia arquivos de configuração do aplicativo EA Desktop e extrai arquivos de configuração e bancos de dados do aplicativo Battle.net.

Copia diretórios de sessão específicos do ProtonVPN e arquivos de configuração principais do aplicativo Surfshark VPN e extrai perfis e arquivos de configuração do OpenVPN.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (32)

Extrai arquivos-chave do cliente de e-mail Thunderbird, incluindo bancos de dados e arquivos de configuração, copia o arquivo de banco de dados do cliente de e-mail MailBird, analisa e extrai informações de conexão do servidor dos arquivos de configuração do FileZilla, extrai dados de sessão das entradas de registro do WinSCP e descriptografa senhas armazenadas, verifica extensões de gerenciador de senhas instaladas em vários navegadores e copia seus diretórios de armazenamento local.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (33)

Ele copia arquivos de carteira de vários aplicativos de carteira de criptomoedas e verifica e copia dados de extensão de carteira de vários navegadores da web.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (34)

Ele tenta capturar imagens usando a webcam baixando e executando um script do repositório GitHub “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/raw/main/frontend-src/webcam[.]ps1”. Ele pesquisa diretórios específicos (Downloads, Documentos, Desktop) para arquivos com certas extensões (por exemplo, .txt, .pdf) e nomes contendo palavras-chave específicas relacionadas a informações confidenciais (por exemplo, senhas, carteiras de criptomoedas).

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (35)

O script verifica a presença do Discord Token Protector, uma ferramenta usada para proteger tokens do Discord. Se encontrado, ele interrompe o processo e exclui o executável e seu arquivo de dados para ignorar qualquer proteção que ele oferece. Além disso, ele baixa e executa outro script do PowerShell do GitHub “https[:]//raw[.]githubusercontent[.]com/Somali-Devs/Kematian-Stealer/main/frontend-src/kematian_shellcode[.]ps1” para injetar shellcode, que normalmente é uma técnica usada para executar código arbitrário na memória. Ele carrega e executa um arquivo binário (kematian.bin) diretamente na memória, uma técnica frequentemente chamada de “injeção reflexiva de DLL” ou “execução de malware sem arquivo”. O kematian.bin é baixado da URL “https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/KematianBuild/kematian[.]bin” (hash md5: 80CF2D7AE1F3ACC750F2CF454B4832C6). Ele executa na memória uma carga binária baixada (kematian.bin). Ele carrega dinamicamente as funções necessárias da API do Windows, aloca memória executável, copia a carga binária para essa memória, cria um thread para executar a carga e aguarda a conclusão do thread. Todo o processo evita gravar a carga no disco, evitando assim medidas tradicionais de segurança e antivírus baseadas em arquivo.

Além disso, o script captura uma captura de tela da área de trabalho do usuário e a salva em um diretório temporário, move vários tipos de arquivos de dados (por exemplo, dados de preenchimento automático, histórico do navegador, senhas) para diretórios designados para coleta, processa arquivos de cookie para identificar e contar domínios, salvando os resultados em um formato estruturado, compacta os dados coletados em um arquivo ZIP, nomeando-o usando valores codificados em base64 para UUID, código do país, nome do host, data do arquivo e sequência de fuso horário. Ele tenta carregar o arquivo ZIP para uma URL de webhook especificada. Se o upload falhar, ele tenta novamente após um intervalo aleatório até ser bem-sucedido.

Por fim, o script apaga os arquivos e diretórios temporários criados durante sua execução para minimizar rastros de sua atividade. Se durante a construção, o usuário selecionar a opção melt, ele se apaga após a execução.

No geral, esse script é sofisticado, opera de forma furtiva, realiza coleta de dados abrangente e tem como objetivo roubar informações confidenciais do usuário, evadir a detecção e manter a persistência no sistema de destino. Ele utiliza várias técnicas comumente encontradas em malware, como exfiltração de dados, injeção de shellcode e autoexclusão.

CONCLUSÃO

Na CYFIRMA, nos dedicamos a fornecer insights oportunos sobre ameaças atuais e estratégias maliciosas. Nossa descoberta recente do novo ladrão de informações “Kematian-Stealer” destaca um risco substancial à privacidade e segurança do usuário, pois ele extrai secretamente dados confidenciais de sistemas comprometidos. Nossa análise do Kematian-Stealer ressalta seu surgimento como uma ameaça sofisticada no cenário de ladrões de informações. Desenvolvido abertamente no GitHub sob a conta “Somali-Devs”, esse malware demonstra capacidades alarmantes em evitar detecção, coletar dados confidenciais e manter persistência em sistemas comprometidos. Com atualizações contínuas e uma ferramenta de construção versátil, o Kematian-Stealer representa um risco significativo para organizações e indivíduos. Por meio de sua abordagem abrangente, ele tem como alvo uma ampla gama de navegadores, aplicativos e carteiras de criptomoedas para coletar senhas, cookies, dados de sessão e informações de carteira de criptomoedas. Aproveitando uma combinação de mecanismos de coleta, persistência e limpeza, o malware coleta e exfiltra dados roubados de forma eficiente.

O Kematian-Stealer é um sofisticado e versátil ladrão de informações com uma ampla gama de capacidades, tornando-o uma ameaça significativa aos sistemas Windows. Sua disponibilidade como código aberto no GitHub destaca a necessidade de práticas de segurança cibernética vigilantes para mitigar os riscos representados por tais ferramentas. Medidas eficazes de segurança cibernética, incluindo proteção robusta de endpoint, atualizações regulares e conscientização do usuário, são essenciais para mitigar a ameaça representada por esse malware em evolução. À medida que as ameaças cibernéticas continuam a evoluir, estratégias de defesa proativas são cruciais para proteger contra riscos emergentes representados por ferramentas como o Kematian-Stealer.

LISTA DE IOCS

Sr. Não.IndicadorTipoObservações
1736376a77af0a4eb7108ba02d989c137Hash de arquivo MD5Arquivo RAR
202f3b7596cff59b0a04fd2b0676bc395Hash de arquivo MD5Carregador Binário
3D2EA85153D712CCE3EA2ABD1A593A028Hash de arquivo MD5Arquivo em lote (E3D0.bat)
4A3619B0A3EE7B7138CEFB9F7E896F168Hash de arquivo MD5Script Powershell descartado (powershell.ps1)
518b5977b1a59c585f00ed7dca0fa81c9Hash de arquivo MD5Construtor (main.exe)
680CF2D7AE1F3ACC750F2CF454B4832C6Hash de arquivo MD5Kematian.bin
7https[:]//ptb[.]discord[.]com/api/webhooks/1247594902611562546/VpMh55OYaqHByOG1Q8vjiiF_seZ3lgXeGdLWhpxfr2UlP261GpZWDiu4lqiTNyAvsrs-URL
8https[:]//discord[.]gg/vk3rBhcj2yURL
9https[:]//github[.]com/KDot227/Powershell-Token-Grabber/releases/download/Fixed_version/main[.]exeURL
10https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/Fixed_version/main[.]exeURL
11https[:]//github[.]com/Somali-Devs/Kematian-Stealer/URL
12https[:]//github[.]com/KDot227/Powershell-Token-Grabber/URL
13https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/AutoBuild/main[.]exeURL
14https[:]//github[.]com/Somali-Devs/Kematian-Stealer/blob/main/frontend-src/main.ps1URL
15https[:]//raw[.]githubusercontent[.]com/Somali-Devs/Kematian-Stealer/main/frontend-src/blockhosts[.]ps1URL
16https[:]//github[.]com/Somali-Devs/Kematian-Stealer/raw/main/frontend-src/antivm[.]ps1URL
17https[:]//raw[.]githubusercontent[.]com/Somali-Devs/Kematian-Stealer/main/frontend-src/kematian_shellcode[.]ps1URL
18https[:]//github[.]com/Somali-Devs/Kematian-Stealer/releases/download/KematianBuild/kematian[.]binURL

TTPs de ATT&CK MITRE

Não.TáticaTécnica
1Acesso Inicial (TA0001)T1566: Phishing
T1566.001: Anexo de spear phishing
2Execução (TA0002)T1059: Execução do usuário
T1204.002: Arquivo malicioso
3Persistência (TA0003)T1053: Tarefa/Trabalho Agendado
4Evasão de Defesa (TA0005)T1027: Arquivos ou informações ofuscados
T1564.001: Arquivos e diretórios ocultos
5Descoberta (TA0007)T1082: Descoberta de informações do sistema
T1087: Descoberta de conta
T1083: Descoberta de arquivos e diretórios
6Coleção (TA0009)T1005: Dados do Sistema Local
T1113: Captura de tela
7Comando e Controle (TA0011)T1105: Transferência de ferramenta de entrada
8Exfiltração (TA0010)T1041: Exfiltração através do canal de comando e controle
T1048: Exfiltração por Protocolo Alternativo
9Impacto (TA0040)T1485: Destruição de Dados

Regras YARA

rule KematianStealer_Hashes {
meta:
description = “Hashes- Kematian-Stealer binary and scripts”
author = “CRT”
date = “05-07-2024”
strings:
$hash1 = “736376a77af0a4eb7108ba02d989c137”
$hash2 = “02f3b7596cff59b0a04fd2b0676bc395”
$hash3 = “D2EA85153D712CCE3EA2ABD1A593A028”
$hash4 = “A3619B0A3EE7B7138CEFB9F7E896F168”
$hash5 = “18b5977b1a59c585f00ed7dca0fa81c9”
$hash6 = “80CF2D7AE1F3ACC750F2CF454B4832C6”
condition:
any of ($hash*)
}

rule KematianStealer_URLs {
meta:
description = “Detects URLs- Kematian-Stealer binary and scripts”
author = “CRT”
date = “05-07-2024”

strings:
$url3 = “https://github.com/KDot227/Powershell-Token-Grabber/releases/download/Fixed_version/main.exe”
$url4 = “https://github.com/Somali-Devs/Kematian-Stealer/releases/download/Fixed_version/main.exe”
$url5 = “https://github.com/Somali-Devs/Kematian-Stealer/”
$url6 = “https://github.com/KDot227/Powershell-Token-Grabber/”
$url7 = “https://github.com/Somali-Devs/Kematian-Stealer/releases/download/AutoBuild/main.exe”
$url8 = “https://github.com/Somali-Devs/Kematian-Stealer/blob/main/frontend-src/main.ps1”
$url9 = “https://raw.githubusercontent.com/Somali-Devs/Kematian-Stealer/main/frontend-src/blockhosts.ps1”
$url10 = “https://github.com/Somali-Devs/Kematian-Stealer/raw/main/frontend-src/antivm.ps1”
$url11 = “https://raw.githubusercontent.com/Somali-Devs/Kematian-Stealer/main/frontend-src/kematian_shellcode.ps1”
$url12 = “https://github.com/Somali-Devs/Kematian-Stealer/releases/download/KematianBuild/kematian.bin”
condition:
any of ($url*)
}

RECOMENDAÇÕES

  • Implante soluções de segurança de endpoint robustas, equipadas com recursos avançados de detecção e prevenção de ameaças para identificar e interromper efetivamente atividades maliciosas.
  • Use um software antivírus e antimalware confiável que possa detectar e remover rapidamente cargas maliciosas para reforçar a segurança geral do sistema.
  • Mantenha os sistemas operacionais, aplicativos e softwares de segurança atualizados com patches regulares para mitigar vulnerabilidades conhecidas frequentemente exploradas por ameaças cibernéticas.
  • Implemente a segmentação de rede para restringir o movimento lateral, impedindo que malware alcance ativos críticos e contendo ameaças potenciais dentro de áreas isoladas.
  • Conduza um treinamento abrangente para funcionários sobre como reconhecer ameaças de phishing, enfatizando os riscos associados à abertura de anexos ou cliques em links em e-mails não solicitados.
  • Eduque os funcionários para identificar táticas de engenharia social, capacitando-os a evitar cair em estratégias enganosas que podem levar à execução de arquivos maliciosos.
  • Configure firewalls para bloquear a comunicação de saída com endereços IP maliciosos conhecidos e domínios associados a servidores de comando e controle.
  • Empregue monitoramento baseado em comportamento para detectar padrões de atividades incomuns, incluindo processos suspeitos que tentam conexões de rede não autorizadas.
  • Aplique políticas de lista de permissões de aplicativos para permitir apenas aplicativos aprovados, evitando assim a execução de executáveis ​​não autorizados ou maliciosos.
  • Monitore o tráfego de rede em busca de padrões anormais, como grandes transferências de dados para endereços IP desconhecidos ou suspeitos, indicando possíveis ameaças.
  • Desenvolva um plano abrangente de resposta a incidentes detalhando as ações necessárias em caso de infecção por malware, incluindo o isolamento dos sistemas afetados e a notificação imediata das partes interessadas relevantes.
  • Mantenha-se atualizado com os mais recentes relatórios de inteligência de ameaças e indicadores de comprometimento relacionados a malware para detectar e mitigar proativamente possíveis ameaças.
  • Implemente backups regulares de dados e sistemas críticos para minimizar o impacto de ataques de ransomware ou perda de dados resultante de infecções por malware.
  • Siga o princípio do menor privilégio (PoLP) restringindo as permissões do usuário apenas àquelas necessárias para funções específicas, reduzindo o impacto de malware que depende de privilégios elevados.
  • Estabelecer e manter medidas defensivas monitorando e bloqueando Indicadores de Comprometimento (IOCs), aprimorando as defesas com base em inteligência tática e regras fornecidas.

Descubra mais sobre DCiber

Subscribe to get the latest posts sent to your email.

Kematian-Stealer: Um mergulho profundo em um novo ladrão de informações (2024)
Top Articles
Latest Posts
Article information

Author: Jonah Leffler

Last Updated:

Views: 5379

Rating: 4.4 / 5 (45 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Jonah Leffler

Birthday: 1997-10-27

Address: 8987 Kieth Ports, Luettgenland, CT 54657-9808

Phone: +2611128251586

Job: Mining Supervisor

Hobby: Worldbuilding, Electronics, Amateur radio, Skiing, Cycling, Jogging, Taxidermy

Introduction: My name is Jonah Leffler, I am a determined, faithful, outstanding, inexpensive, cheerful, determined, smiling person who loves writing and wants to share my knowledge and understanding with you.