PurpleWave

O PurpleWave é uma nova ameaça de malware infostealer escrita em C ++ que está sendo vendida em fóruns de hackers russos clandestinos e foi descoberta pela primeira vez pelos pesquisadores do ThreatLabZ do Zscaler. O criador do PurpleWave o anuncia como capaz de extrair informações de todos os tipos dos computadores infectados, incluindo senha, detalhes de cartão de crédito, cookies, sistema operacional e dados do sistema e arquivos de caminhos especificados. O hacker oferece duas opções de pagamento - a mais cara custa 5.000 RUB (aproximadamente US 67), mas garante atualizações vitalícias, enquanto a mais barata custa 4.000 RUB (aproximadamente US $54) que vem com apenas duas atualizações.

O autor também construiu um painel bastante conveniente por meio do qual os compradores em potencial podem personalizar e modificar o comportamento da ameaça e monitorar o andamento do ataque. Os invasores podem classificar os números de infecção ordenados por data e acessar logs contendo informações roubadas das vítimas.

O PurpleWave é um Poderoso Infostealer

Assim que o PurpleWave consegue se infiltrar no dispositivo visado, ele exibe uma mensagem de erro falsa com texto em russo. O texto específico do erro pode ser alterado para atender às necessidades do invasor por meio do painel do malware. No entanto, trata-se apenas de uma diversão, visto que todas as atividades nocivas estão sendo realizadas em segundo plano ao mesmo tempo.

O PurpleWave tem como alvo os navegadores da Web Chromium e Mozilla e coleta credenciais, dados de preenchimento automático, cookies, histórico do navegador e detalhes de cartão de crédito. Especificamente para navegador baseado em Chromium, o infostealer pega os cookies do '\%AppData%\Local\{Browser}\User Data\Default\Cookies', as credenciais de login do '\%AppData%\Local\{Browser}\User Data\Default\Login Data', enquanto o restante das informações é obtido no '\%AppData%\Local\{Browser}\User Data\Default\Web Data'.

As habilidades do PurpleWave vão muito além de apenas coletar informações do navegador. O PurpleWave captura uma imagem da tela e registra vários dados do sistema, como nome de usuário, nome da máquina, sistema operacional, CPU e informações de GPU e GUID da máquina. No entanto, isso não é tudo, já que o PurpleWave coleta os arquivos SSFN do Steam armazenados no diretório de configuração do aplicativo. Uma funcionalidade para coletar arquivos relacionados à sessão do Telegram também está incluída.

O PurpleWave pode Instalar Malware Adicional

Uma das diferentes configurações do PurpleWave capturadas pela equipe ThreatLabZ foi configurada para abrir mão da parte de coleta de dados. No entanto, em vez disso, ele se concentra na implantação de módulos de malware adicionais. Para iniciar a busca de novos módulos, PurpleWave cria uma solicitação HTTP POST e a envia para seu servidor Command-and-Control (C2), seguido por um '/loader/module_name .' O módulo selecionado é então baixado, armazenado na pasta % appdata% e executado.

Nas versões de configuração específicas analisadas pelos pesquisadores, a carga obtida por PurpleWave era um coletor de carteira Electrum escrito em .NET.

O PurpleWave é um poderoso infostealer com funcionalidade expandida que pode ser usado em vários esquemas de ataque.