Um recém-descoberto Surgiu um ladrão baseado em Java chamado Rude, encapsulado em um arquivo Java (JAR) arquivo. Ele emprega uma gama de funcionalidades sofisticadas e se concentra no roubo de dados confidenciais de plataformas de jogos como o Steam, Discórdia, e outros navegadores.
Visão geral do Rude Stealer
No início de novembro 2023, pesquisadores identificaram um arquivo JAR malicioso rotulado “Ladrão.jar” no VirusTotal. Uma análise mais aprofundada revelou que este arquivo é um ladrão de informações chamado Rude. Ao contrário de uma forma mais comum de arquivos executáveis, este malware é baseado em Java e projetado para atingir o sistema operacional Windows. Os arquivos JAR podem ser mais furtivos e evitar a detecção de software de segurança convencional.
O alvo principal do Rude Stealer é tokens e IDs de aplicativos populares como Discord e Steam. Adicionalmente, ele coleta uma infinidade de informações confidenciais. Entre eles estão as senhas, biscoitos, histórico de navegação, e preenchimento automático de dados de vários navegadores. Notavelmente, esse malware ignora carteiras de criptomoedas, que se tornaram um típico ponto de interesse desde 2020. O ladrão também está equipado com a capacidade de capturar imagens, adicionando uma camada extra às suas capacidades de coleta de informações.
Infecção Inicial e Análise Técnica
Embora o vetor de infecção inicial permaneça desconhecido, Está claro que Rude Stealer requer ativação manual por TAs através de argumentos de linha de comando. Especificando o ID de bate-papo do canal Telegram e o token do bot, TAs iniciam o ladrão para iniciar suas atividades de roubo de dados. Uma análise técnica detalhada revela o funcionamento do Rude Stealer, com arquivos de classe específicos dedicados a diversas operações.
Roubando dados do usuário Steam
Em primeiro lugar, Rude Stealer verifica meticulosamente o sistema da vítima em busca de o diretório do aplicativo Steam, copia arquivos relevantes, e extrai SteamIDs. Esses IDs são então usados para gerar URLs que levam aos perfis da comunidade Steam das vítimas.. Com base nos dados de usuário Steam adquiridos, o ladrão investiga os jogos instalados, recuperando nomes de jogos e registrando essas informações em um arquivo de texto designado.
Extraindo tokens de discórdia e dados do navegador
Próximo, o ladrão localiza diretórios relacionados ao Discord, copia arquivos pertinentes, e extrai tokens Discord usando padrões regex. Ele salva esses tokens em um arquivo de texto separado. Além da discórdia, esse ladrão coleta informações confidenciais dos seguintes navegadores: Corajoso, Borda, cromada, Raposa de fogo, Ópera, OperaGX, Vivaldi, e Yandex. As informações extraídas de diferentes bancos de dados de navegadores da web são salvas em arquivos de log. Inclui:
- Preenchimento automático
- Dados do cartão de crédito
- Biscoitos
- História
- Senhas
Capturando informações do sistema
Durante a próxima etapa, o Rude Stealer reúne uma lista de processos ativos no sistema comprometido. Os detalhes registrados incluem nomes e IDs de processos. Além de plataformas de jogos, Rude Stealer também recupera uma ampla gama de informações relacionadas ao sistema. Nada incomum aqui – ele reúne endereço de IP, país, Arquitetura da CPU, e quantidade de RAM. Todos esses dados são salvos em um arquivo de texto. Adicionalmente, este ladrão pode capturar capturas de tela usando a classe Java Robot, que são então salvos no diretório de perfil do usuário.
Transmissão e limpeza de dados
Depois que todas as informações necessárias forem coletadas, Rude Stealer compila-o em um arquivo ZIP e atribui o rótulo do arquivo ao nome do computador. O arquivo é posteriormente enviado aos TAs’ Canal de telegrama através da API do bot Telegram. O ladrão termina sua operação realizando o chamado colapso, removendo arquivos e diretórios vinculados à sua presença.
Com base nas evidências encontradas durante a análise, pesquisadores inferiram que Rude Stealer provavelmente está sendo operado por um TA associado ou operando da Turquia. Esta suposição é apoiada pelo fato de que o ladrão reúne a hora do sistema comprometido e a converte em Fuso horário da Turquia.
Recomendações
Apesar de ser um simples ladrão baseado em Java, Rude Stealer ainda é uma ameaça significativa para indivíduos e organizações. O uso do Dxdiag para obter informações confidenciais é particularmente preocupante.
- Desative o salvamento automático de senha no navegador. Esta é uma etapa essencial porque os ladrões geralmente têm como alvo os dados do navegador da web. Em vez de, you can use a password manager para gerenciar e armazenar suas senhas com segurança.
- Estabeleça controles de acesso rigorosos para ferramentas do sistema. Já que Rude Stealer pode abusar do dxdiag para executar seu código malicioso, implementar controles de acesso mais rígidos para essas ferramentas. Você pode fazer isso restringindo quais usuários podem executar essas ferramentas ou usando a lista de permissões de aplicativos.
- Bloqueie a criação de arquivos de texto em pastas confidenciais de perfis de usuário. Rude Stealer geralmente cria arquivos de texto em pastas confidenciais de perfis de usuário para armazenar dados roubados. Para evitar isso, impor regras estritas que bloqueiam a criação de arquivos de texto nessas pastas, especialmente em caminhos como “C:\Usuários[nome de usuário]”. Você pode usar permissões do sistema de arquivos ou software de segurança para conseguir isso.
- Use uma solução antimalware. Manter software antimalware e de segurança da Internet atualizado é crucial para proteção contra malware. Essas ferramentas podem detectar e bloquear a execução de códigos maliciosos em seus dispositivos.
