Doenerium Stealer

Doenerium és un robatori d'informació maliciós disfressat com l'eina d'eliminació de programari maliciós de Windows. Roba dades de carteres de criptomoneda, navegadors i memòria del porta-retalls, així com informació del sistema. També permet als actors d'amenaça extreure criptomoneda en ordinadors compromesos segrestant els seus recursos de maquinari.

Un cop executat al dispositiu de la víctima, el programari maliciós primer crea una carpeta d'exfiltració que conté altres carpetes utilitzades per Doenerium. L'amenaça es dirigeix a diverses criptomonedes destacades, com Ethereum, Armory, AtomicWallet, Electrum, Bytecoin, Coinomi, Guarda, Jaxx i Zcash. A continuació, la informació robada es recull en una carpeta anomenada "Carteles". A més, Doenerium recull fitxes de Discord i dades del navegador, com ara detalls d'emplenament automàtic, adreces d'interès, galetes i contrasenyes.

A més, l'amenaça porta un mòdul clipper, que li permet escanejar la memòria del porta-retalls del sistema infectat per a adreces de cartera de criptomoneda. Si es troba aquesta coincidència, Doenerium Stealer substituirà les dades desades de la víctima per l'adreça de criptomoneda de l'atacant. Com a resultat, la transacció dipositarà el fons al compte dels ciberdelinqüents, deixant a les víctimes poques opcions per recuperar els seus diners.

Després de recollir les dades de destinació, Doenerium les comprimeix en un fitxer d'arxiu .ZIP i l'envia a una plataforma d'emmagatzematge o compartició de fitxers gratuïta. Un cop carregada la informació robada, Doenerium elimina els canvis que ha fet al sistema eliminant el fitxer ZIP i la seva carpeta d'exfiltració del dispositiu de la víctima.