September 26
Phemedrone-Stealer
Phemedrone — это вредоносное ПО с открытым исходным кодом, которое умеет похищать данные с таких платформ, как Steam, Discord и Telegram, извлекать информацию из браузеров (особенно Chrome) и криптовалютных кошельков, а также есть возможность легко настраивать стиллер на C#.
Некоторые возможности стилера:
- Кража Steam
Phemedrone использует для кражи игровое приложение Steam, похищая файлы *ssfn* и \\config.vdf, которые злоумышленники могут использовать для захвата учетной записи Steam жертвы. - Кража Telegram
Phemedrone захватывает DefaultIcon из реестра жертвы, а также крадет информацию tdata жертвы, которая может быть использована для захвата аккаунта Telegram. - Метки cookie и паролей
Phemedrone умеет просматривать украденные куки/пароли и делать «снимок» того, что было украдено, используя список тегов, содержащихся в бинарном файле. - Скриншот
Phemedrone автоматически получает скриншот экрана жертвы после установки для последующей эксфильтрации. - FileGrabber
Phemedrone также включает в себя базовый filegrabber, который пройдется по папкам «Мои документы» и «Рабочий стол» и украдет все файлы, основываясь на заданных в конфигурации максимальном размере файла и глубине каталога. - Кража токенов Discord
Phemedrone использует токены Discord, получая доступ к базе данных Discord leveldb, хранящейся на компьютере жертвы. Затем он набирает строку «dQw4w9WgXcQdQw4w9WgXcQ:[^\»]*», которую использует для извлечения токена Discord жертвы для целей аутентификации. Эта строка добавляется к каждому зашифрованному токену Discord, хранящемуся в базе данных Discord leveldb жертвы.