Bizfum Stealer: «образовательный» вредонос, доступный буквально каждому

Специалисты компании Cyfirma обнаружили новый похититель данных под названием «Bizfum Stealer», легитимно распространяемый через платформу GitHub. Это сложный инструмент, который собирает учётные записи браузеров, файлы, токены Discord и отправляет их злоумышленникам через Telegram, предварительно зашифровав с использованием RSA-алгоритма.

После активации на заражённой системе, Bizfum Stealer извлекает логины, пароли, куки, историю браузера и содержимое буфера обмена. Целями атаки становятся популярные браузеры, такие как Chrome, Firefox, Edge, Opera, Brave и Yandex. Вредонос также делает скриншоты экрана и сохраняет их для последующего использования злоумышленниками.

Программа написана на языке программирования C, что позволяет эффективно взаимодействовать с компонентами операционной системы Windows и обходить традиционные средства защиты. Для маскировки своей деятельности Bizfum Stealer использует сжатие и шифрование данных, после чего передаёт их через анонимные серверы и Telegram-бот.

Вредоносное ПО также нацелено на кражу файлов с популярными расширениями, такими как «.jpg», «.pdf», «.txt», «.docx», и сохраняет их в скрытую директорию. Токены Discord собираются из локального хранилища приложения, что позволяет злоумышленникам получить доступ к аккаунтам пользователей.

Bizfum Stealer использует платформы вроде GoFile для загрузки украденных данных, создавая ссылки для последующего скачивания. Эта тактика позволяет избежать прямого взаимодействия с серверами злоумышленников и затрудняет их отслеживание.

Эксперты отмечают, что проект на GitHub представлен как «образовательный и открытый», что лишь увеличивает риск его использования в зловредных целях. Открытый доступ позволяет любому желающему модифицировать код и адаптировать его для своих атак.

Исследователи CYFIRMA подчёркивают, что Bizfum Stealer представляет серьёзную угрозу безопасности, поскольку может оставаться незаметным для стандартных антивирусов. Его действия включают удаление следов и автоматическую очистку временных файлов, что усложняет расследование инцидентов.

Для защиты от подобных угроз рекомендуется усилить мониторинг аномальной активности, использовать современные системы обнаружения и реагирования, а также регулярно обновлять ПО. Важным аспектом является и обучение сотрудников методам распознавания фишинговых атак и угроз с открытых платформ.

Bizfum Stealer служит напоминанием о растущей угрозе от открытых источников, таких как GitHub, где вредоносный код может распространяться под видом образовательного материала. Это требует повышенного внимания со стороны специалистов по кибербезопасности.

Разработка стратегий защиты, таких как мониторинг индикаторов компрометации и ограничение внешних соединений, поможет минимизировать риск утечек данных и других последствий атак.