Katz Stealer: кража сессий, токенов и учетных данных

Katz Stealer — это сложное ВПО, ориентированное на кражу информации с заражённых систем. Анализ поведения этого инструмента показывает, что он использует сразу несколько механизмов: от географической проверки и профилирования жертвы до целенаправленной эксфильтрации данных из браузеров, мессенджеров, игровых клиентов и системных хранилищ.

Географическая проверка и оценка цели

На начальном этапе Katz Stealer выполняет географическую проверку. Эта функция жёстко запрограммирована так, чтобы избегать заражения систем в стране своего происхождения. Такой подход снижает риск обнаружения со стороны местных правоохранительных органов и затрудняет атрибуцию активности.

После этого вредоносное ПО профилирует пользователя, оценивая его потенциальную ценность как цели. Лишь затем оно переходит к основным этапам кражи данных.

Связь с C2 и загрузка дополнительных компонентов

Связь с сервером управления (C2) устанавливается через протокол TCP. В отчёте указан конкретный адрес инфраструктуры управления: 185.107.74.40 на порту 3131.

Перед началом кражи данных Katz запускает цикл загрузки, в рамках которого получает дополнительные полезные компоненты. Это расширяет его функциональность и позволяет выполнять последующие этапы атаки более эффективно.

Основные цели: браузеры, cookie и сессии

Katz Stealer целенаправленно атакует популярные веб-браузеры, включая Chrome, Edge и Brave. Для кражи конфиденциальной информации он перехватывает процессы и внедряется в пользовательские сессии.

Ключевая задача вредоносного ПО — извлечение cookie, что позволяет злоумышленникам впоследствии перехватывать сессии без необходимости знать пароли. Такой подход делает атаку особенно опасной: доступ к аккаунтам может быть получен уже после компрометации браузерного профиля.

Экфильтрация данных и поиск в приложениях

После сбора Katz выполняет методичный процесс эксфильтрации, систематически загружая ценные данные на свой C2-сервер. Анализ показывает, что вредоносное ПО ищет определённые папки и файлы, связанные с Discord и Firefox, извлекая учётные данные и токены сессий.

Кроме того, Katz исследует различные мессенджеры, в частности Telegram. В этой среде он собирает данные из папок tdata пользователей, что критически важно для доступа к конфиденциальной информации и кодам 2FA.

Дополнительные категории украденной информации

Помимо браузеров и мессенджеров, Katz Stealer собирает и другие чувствительные данные. В частности, он:

• собирает системную информацию для идентификации устройства;
• извлекает сохранённые учётные данные Wi-Fi в открытом виде;
• нацелен на конфигурации ngrok для получения токенов туннелирования;
• перехватывает учётные данные из множества игровых клиентов.

Такой охват показывает, что операторов Katz Stealer интересует максимально широкий спектр данных — от сетевого доступа до токенов и учётных записей в популярных сервисах и приложениях.

Вывод

Katz Stealer демонстрирует комплексный подход к краже информации. ВПО сочетает географическое уклонение, профилирование жертвы, загрузку дополнительных компонентов и многоуровневую эксфильтрацию данных с заражённых систем.

Его стратегия направлена на максимизацию объёма похищенной информации за счёт атаки на браузеры, мессенджеры, игровые клиенты, сетевые настройки и другие локальные хранилища. Это делает Katz Stealer типичным примером современного инфостилера, рассчитанного на быстрое извлечение ценных данных и их передачу на инфраструктуру злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.