TTL OSINT

Игра "Кац и мышь": Инфокрады MaaS адаптируются к исправленной защите Chrome

Elastic Security Labs проанализировала реакцию экосистемы infostealer на привязанную к приложениям схему шифрования Google Chrome 127, которая шифрует файлы cookie, хранящиеся в Chrome на Windows, для защиты пользовательских данных. Исследователи обнаружили, что многие инфокрады написали новый код для обхода этой защиты, позволяющий им извлекать данные файлов cookie из браузеров Chrome. Методы, используемые этими семействами infostealer, включают изменение баз данных SQLite с помощью зашифрованных значений с префиксом "v20", чтобы указать шифрование с использованием шифрования, привязанного к приложению. Затем вредоносная программа запускает дочерний процесс, используя встроенный PE-файл для извлечения незашифрованных значений cookie из дочернего процесса Chrome. Исследователи также обнаружили, что автор вредоносного ПО повторно внедрил ChromeKatz в STEALC, чтобы обойти функцию защиты от шифрования, привязанную к приложению. Методы обхода, используемые этими инфокрадами, не являются исчерпывающими и постоянно совершенствуются, что свидетельствует о постоянных усилиях киберпреступников по адаптации к новым мерам безопасности.< / p>

Ссылка:https://www.elastic.co/security-labs/katz-and-mouse-game

Выборочные показатели Compromise:

• https://www.elastic.co/security-labs/katz-and-mouse-game
• www.elastic.co
• b74733d68e95220ab0630a68ddf973b0c959fd421628e639c1b91e465ba9299b
• 84033def9ffa70c7b77ce9a7f6008600c0145c28fe5ea0e56dfafd8474fb8176
• 27e4a3627d7df2b22189dd4bebc559ae1986d49a8f4e35980b428fadb66cf23d

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал