Katz Stealer: A digitális zsebtolvaj, aki az adataidat veszi célba
Table of Contents
Mi a Katz Stealer és miért fontos?
A Katz Stealer egy adatgyűjtő eszköz, amelyet kifejezetten arra terveztek, hogy érzékeny információkat gyűjtsön az általa bejutott eszközökről. Az agresszívabb, fájlokat károsító vagy váltságdíjat követelő fenyegetésekkel ellentétben ez a program csendben, a háttérben működik – célja a megfigyelés, a kinyerés és az adatok kiszivárgása. Elsősorban bejelentkezési adatokat, kriptovaluta-tárcákat, böngészési adatokat és egyéb személyes vagy pénzügyi adatokat céloz meg. A Katz különösen figyelemre méltóvá teszi a terjesztési modelljét: Malware-as-a-Service (MaaS) néven forgalmazzák, ami azt jelenti, hogy kiberbűnözőknek adják el, akik aztán saját kampányaikhoz használhatják.
Álcázott és megtévesztő: Hogyan jut be
A Katz Stealer beszivárgási folyamata egyszerre okos és rugalmas. Általában tömörített archívumokban, például GZIP fájlokban rejtőzik, amelyek látszólag közönséges adathordozókkal vagy szoftverekkel vannak csomagolva. Megnyitás után ezek a fájlok többlépcsős fertőzési láncot indítanak el, amely gyakran egy JavaScript fájllal kezdődik, amely letölt egy PowerShell szkriptet. Ez a szkript ezután egy .NET betöltőt hív meg, hogy a tényleges rosszindulatú kódot befecskendezze a legitim rendszerfolyamatokba. A rosszindulatú program könnyen látható helyen rejtőzik, megbízható Windows alkalmazások álcája alatt fut.
Kialakításának köszönhetően anti-észlelés
A Katz-ot úgy tervezték, hogy elkerülje az észlelést, nem pedig a konfrontációt. Számos trükkel rendelkezik, hogy elkerülje az elemzés során a lebukást. Például, ha a program azt észleli, hogy virtuális gépen vagy sandboxban fut – ezeket a környezeteket gyakran használják a kiberbiztonsági kutatók –, azonnal leáll. Emellett egy folyamat-üregesítésnek nevezett taktikát is alkalmaz, amely lehetővé teszi, hogy kódját legitim folyamatokba illessze be, így jelenlétét nehezebb észlelni. Ráadásul a Katz geofencinget is használ: ha azt észleli, hogy az eszköz egy adott régióban van, előfordulhat, hogy egyáltalán nem folytatja a tevékenységeit.
Mit akar valójában Katz Stealer?
A Katz lényegében egy információlopási eszköz. Azzal kezdődik, hogy olyan eszközadatokat gyűjt, mint az operációs rendszer adatai, a hardver specifikációi, az IP-cím és a nyelvi beállítások. Elsődleges célpontjai azonban a webböngészők és bővítmények. A Chromium alapú böngészőkre, mint a Chrome, a Brave és az Edge, valamint a Gecko alapú böngészőkre, mint a Firefox, összpontosít. Ezekből kinyeri a böngészési előzményeket, a mentett jelszavakat, a sütiket és más érzékeny adatokat. Különösen kriptovalutákkal kapcsolatos böngészőbővítményeket keres, és több mint 100-ból képes adatokat kinyerni.
Kriptovaluta és azon túl
A Katz nem áll meg a böngészőknél. Képes információkat kinyerni asztali kriptovaluta-tárcákból, FTP-kliensekből, VPN-eszközökből, e-mail szoftverekből, játékplatformokból és azonnali üzenetküldőkből. A felhasználói fájlokban is képes átfésülni a jellemzően kriptovalutával vagy pénzügyekkel kapcsolatos kulcsszavakat. Ha ez nem lenne elég, képes képernyőképeket készíteni az asztalról, sőt, a vágólapra másolt adatokat is figyelni. Ez lehetővé teszi, hogy jelszavakat, tárcacímeket vagy más érzékeny információkat rögzítsen abban a pillanatban, amikor a felhasználó lemásolja azokat.
TROX Stealer: Egy közeli hozzátartozó
A Katz nem az egyetlen adattolvaj, ami forgalomban van. A TROX Stealer egy másik program ugyanebbe a kategóriába tartozik. A Katzhoz hasonlóan a TROX is úgy lett kialakítva, hogy lopakodva működjön, hasonló típusú információkat gyűjtsön, és visszaküldje azokat a támadónak. Bár eltérhetnek bizonyos technikai aspektusokban vagy kézbesítési módszerekben, a célok közösek: felhasználói adatok gyűjtése észrevétlenül. Mindkettőt megvásárolhatják és telepíthetik a támadók kevés technikai tudással, így vonzó eszközzé válnak a kiberbűnözés ökoszisztémájában.
Ki áll Katz mögött, és hogyan terjed?
A Katz készítői jellemzően nem ugyanazok az emberek, akik telepítik. Inkább úgy viselkednek, mint egy szolgáltatást értékesítő fejlesztők. Azzal, hogy a Katzt MaaS-ként kínálják, lehetővé teszik a vásárlók számára, hogy saját kampányokat hajtsanak végre. Ez a terjesztési modell azt jelenti, hogy a Katz terjedésének módja nagyon változatos lehet – az adathalász e-mailektől és a megtévesztő weboldalaktól kezdve a mérgezett keresési eredményekig és a hamis szoftverletöltésekig. Egyes felhasználók felugró ablakokon, gyanús linkeken vagy feltört közösségi média fiókokon keresztül találkozhatnak vele. Más esetekben a Katz kalózszoftverekkel vagy nem hivatalos játékmódokkal együtt érkezhet.
Miért kulcsfontosságú a tudatosság?
A Katz Stealer csendben működhet, de jelenlétének messzemenő következményei vannak. A közösségi médiás bejelentkezésektől kezdve a kriptovaluta-vagyonokig mindent veszélyeztethet. Lopakodó jellege és folyamatosan fejlődő funkciói miatt nem mindig könnyű észrevenni. Míg sok felhasználó arra számít, hogy a rosszindulatú programok hangos riasztásokkal vagy látható károkkal járnak, a Katzhoz hasonló fenyegetések azt bizonyítják, hogy a legkárosabb programok gyakran nem hagynak azonnali nyomot.
Lényeg
A Katzhoz hasonló fenyegetések elkerülése többet igényel, mint pusztán technikai megoldásokat – az óvatos viselkedéssel kezdődik. A fájlok letöltése csak megbízható forrásokból, a gyanús linkek elkerülése és az ismeretlen feladóktól származó mellékletek megnyitásának mellőzése mind alapvető gyakorlatok. A digitális világ tele van ígéretekkel, letöltésekkel és felugró ablakokkal. Annak ismerete, hogy melyikben bízhatunk, döntő tényező lehet a biztonság megőrzése és az adatok csendes eltulajdonítása között.
