Doenerium Stealer

A Doenerium egy rosszindulatú információlopó, amelyet a Windows rosszindulatú szoftvereket eltávolító eszközének álcáznak. Adatokat lop el kriptovaluta pénztárcákból, böngészőkből és a vágólap memóriájából, valamint rendszerinformációkat. Lehetővé teszi továbbá a fenyegetés szereplői számára, hogy kriptovalutát bányászjanak a feltört számítógépeken hardvererőforrásaik eltérítésével.

Miután végrehajtották az áldozat eszközén, a kártevő először létrehoz egy kiszűrési mappát, amely a Doenerium által használt egyéb mappákat tartalmazza. A fenyegetés több prominens kriptopénztárcát céloz meg, köztük az Ethereumot, az Armoryt, az AtomicWalletet, az Electrumot, a Bytecoint, a Coinomit, a Guardát, a Jaxx-et és a Zcash-t. Az ellopott információkat ezután a „Wallets” nevű mappába gyűjtjük. Ezenkívül a Doenerium gyűjti a Discord tokeneket és a böngészőadatokat, például az automatikus kitöltési adatokat, a könyvjelzőket, a cookie-kat és a jelszavakat.

Ezenkívül a fenyegetés egy clipper modult is tartalmaz, amely lehetővé teszi a fertőzött rendszer vágólap-memóriájának átvizsgálását kriptovaluta pénztárca címek után. Ha ilyen egyezést talál, a Doenerium Stealer lecseréli az áldozat mentett adatait a támadó kriptotárca címére. Ennek eredményeként a tranzakció a kiberbűnözők számlájára utalja az alapot, így az áldozatoknak kevés lehetősége marad pénzük visszaszerzésére.

A megcélzott adatok összegyűjtése után a Doenerium .ZIP archív fájlba tömöríti azokat, és elküldi egy ingyenes fájlmegosztó vagy tároló platformra. Az ellopott információk feltöltése után a Doenerium eltávolítja a rendszeren végrehajtott változtatásokat úgy, hogy törli a ZIP-fájlt és annak kiszűrési mappáját az áldozat eszközéről.