СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#Dev#ИБ#Инфра

Анализ PupkinStealer: угроза кражи данных через Telegram

Анализ PupkinStealer: угроза кражи данных через Telegram

Источник: www.cyfirma.com

В мире киберугроз появилась новая вредоносная программа под названием PupkinStealer, разработанная с использованием C# и .NET framework. Основная цель данной программы — кража конфиденциальной информации пользователей через API Telegram Bot. В данной статье мы рассмотрим ключевые особенности и механизмы работы PupkinStealer.

Что такое PupkinStealer?

PupkinStealer нацелен на извлечение определенных типов данных, среди которых:

  • Сохраненные учетные данные для входа в систему из браузеров на базе Chromium (Chrome, Edge, Opera, Opera GX, Vivaldi);
  • Личные документы с рабочего стола пользователя;
  • Информация о сеансах из приложений для обмена сообщениями (Telegram, Discord);
  • Скриншоты рабочего стола.

Механизм работы

Вредоносная программа запускается с несколькими фоновыми задачами, которые направлены на сбор и эксфильтрацию данных. Основные шаги работы PupkinStealer включают:

  1. Извлечение и расшифровка учетных данных из браузеров с использованием ключей дешифрования, хранящихся в локальных файлах.
  2. Создание временных каталогов для хранения захваченных данных, что способствует снижению вероятности их обнаружения.
  3. Сбор файлов с расширениями .pdf, .txt, .sql, .jpg, .png напрямую с рабочего стола жертвы.
  4. Перехват сеансов из Telegram, копируя файлы из папки tdata.
  5. Извлечение токенов аутентификации из базы данных Discord leveldb.
  6. Сбор скриншотов рабочего стола для фильтрации конфиденциальной информации.

Отправка данных

Все собранные данные сжимаются в ZIP-архив, который содержит:

  • Имя пользователя жертвы;
  • Общедоступный IP-адрес;
  • Идентификатор безопасности Windows (SID).

Затем ZIP-файл отправляется на удалённый сервер, контролируемый злоумышленником, через запрос API с помощью Telegram Bot API, что позволяет злоумышленникам легко организовывать и отслеживать свои цели.

Происхождение и тенденции

PupkinStealer впервые был замечен в апреле 2025 года. Судя по лингвистическим маркерам в коде и метаданных чата, разработчики программы известны под псевдонимом Ardent и, вероятно, имеют российское происхождение. Этот продукт выделяется среди вредоносного ПО благодаря своей простоте и высокоэффективности, что делает его доступным для менее опытных киберпреступников.

Рекомендации по кибербезопасности

Учитывая угрозу, исходящую от PupkinStealer, пользователям настоятельно рекомендуется:

  • Проявлять осторожность при работе с ненадежными файлами и ссылками;
  • Использовать надежные антивирусные решения;
  • Повышать бдительность в отношении методов социальной инженерии.

В условиях продолжающегося роста угроз кибербезопасности, знание о таких вредоносных программах, как PupkinStealer, становится критически важным для защиты личной и корпоративной информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: