Doenerium Stealer

Doenerium er en ondsinnet informasjonstyver forkledd som Windows-verktøyet for fjerning av skadelig programvare. Den stjeler data fra cryptocurrency-lommebøker, nettlesere og utklippstavleminne, samt systeminformasjon. Det lar også trusselaktører utvinne kryptovaluta på kompromitterte datamaskiner ved å kapre maskinvareressursene deres.

Når den er utført på offerets enhet, oppretter skadevaren først en eksfiltreringsmappe som inneholder andre mapper som brukes av Doenerium. Trusselen retter seg mot flere fremtredende kryptowallets, inkludert Ethereum, Armory, AtomicWallet, Electrum, Bytecoin, Coinomi, Guarda, Jaxx og Zcash. Den stjålne informasjonen samles deretter i en mappe kalt "Lommebøker". I tillegg samler Doenerium inn Discord-tokens og nettleserdata, for eksempel autofylldetaljer, bokmerker, informasjonskapsler og passord.

Videre har trusselen en klippemodul, som lar den skanne utklippstavleminnet til det infiserte systemet for cryptocurrency-lommebokadresser. Hvis en slik match blir funnet, vil Doenerium Stealer erstatte offerets lagrede data med angriperens kryptowallet-adresse. Som et resultat vil transaksjonen sette inn fondet på nettkriminelles konto, noe som gir ofrene få alternativer for å få tilbake pengene sine.

Etter å ha samlet inn måldataene, komprimerer Doenerium dem til en .ZIP-arkivfil og sender den til en gratis fildelings- eller lagringsplattform. Når den stjålne informasjonen er lastet opp, fjerner Doenerium endringene den har gjort i systemet ved å slette ZIP-filen og dens eksfiltreringsmapp fra offerets enhet.