El malware Predator The Thief se ha actualizado para robar datos utilizando documentos de Word

Depredador, el ladrón, es solo otro malware de robo de datos escrito completamente en C / C ++ y vendido en foros de darknet por $ 50 o menos. Los creadores de este malware están en contacto con sus clientes para proporcionar actualizaciones periódicas para ser más sigilosos.

Infección a través de un documento de Word

Un grupo de soluciones cibernéticas llamado Fortinet ha estado rastreando este malware a lo largo del tiempo y estudiando sus tendencias de actualización, lo que resultó en la nueva versión de este malware que ahora infecta los sistemas a través de documentos de Word.

El malware Predator The Thief se ha actualizado para robar datos utilizando documentos de Word
Imagen de https://pxhere.com/

Como explica Fortinet, el malware está incrustado en un documento de Word que se crea como una factura en la que se puede hacer clic. Y cuando está abierto, AutoOpen macro ejecuta código VBA, que a su vez descarga tres archivos nuevos usando Powershell.

Los tres archivos como:
VjUea.dat, que es un AutoIt3.exe legítimo para ejecutar el script AutoIt descodificado.

SevSS.data, que es decodificado por certutil.exe, una línea de comando genuina y es parte de Windows.

Y ese script descifrado se utiliza para descifrar y ejecutar el apTz.dat, que entrega la carga final Predator The Thief.

Inteligente, no rastreable, rápido

Los datos robados por este malware son de las víctimas:

  • Ciudad, país, longitud, latitud, IP, zona horaria y código postal.
  • Contraseña, cookies del navegador
  • Información sobre tarjetas de pago y billeteras
  • Información de la cuenta de Telegram, Steam, Skype
  • Resultado de anti-depuración de suma de comprobación crc32
  • Configurar el método de ejecución del módulo

Después de todo, el malware es demasiado inteligente para pasar desapercibido, ya que se activa después de completar su misión e incluso transfiere la información robada a un archivo zip cargado directamente desde la memoria, sin dejar huellas. Además, la comunicación con el servidor del pirata informático (para recibir comandos y transferir datos) se realiza mediante algoritmos cifrados como base64 y RC4.

Fortinet describe que el malware está en versión 3.3.4 y se actualiza continuamente a las últimas versiones para introducir nuevas técnicas de ocultación.