Новый ботнет Golang опустошает криптовалютные кошельки пользователей Windows

 

Новый ботнет на основе Golang, находящийся в активной разработке, захватывает сотни устройств Windows каждый раз, когда его операторы развертывают новый сервер управления и контроля (C2).

Этот ранее неизвестный ботнет, впервые обнаруженный в октябре 2021 года исследователями ZeroFox, которые назвали его Kraken, использует бэкдор SmokeLoader и загрузчик вредоносных программ для распространения на новые системы Windows.

После заражения нового устройства Windows ботнет добавляет новый ключ реестра, чтобы обеспечить сохранение данных между перезагрузками системы. Он также исключает Microsoft Defender, чтобы его каталог установки никогда не сканировался, и скрывает свой двоичный файл в проводнике Windows, используя скрытый атрибут.

Kraken имеет ограниченный и упрощенный набор функций, позволяющий злоумышленникам загружать и выполнять дополнительные вредоносные полезные нагрузки на взломанных устройствах, включая вредоносное ПО RedLine Stealer.

RedLine в настоящее время является наиболее широко используемым похитителем информации, способным собирать пароли жертв, файлы cookie браузера, информацию о кредитной карте и информацию о криптовалютном кошельке.

В настоящее время неизвестно, что оператор намерен делать с украденными учетными данными, которые были собраны, или какова конечная цель создания этого нового ботнета. Тем не менее, ботнет также имеет встроенные возможности для кражи информации, а также может красть информацию из криптовалютных кошельков.

Согласно ZeroFox, Kraken может красть информацию из криптокошельков Zcash, Armory, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Atomic и Jaxx Liberty.