Khalesi
Os infostealers estão entre as ferramentas favoritas dos hackers e dos cibercriminosos em todo o mundo. Isso ocorre porque esse tipo de malware geralmente é muito pequeno em termos de tamanho, o que permite realizar operações silenciosas que podem ser altamente bem-sucedidas potencialmente. Os infostealers podem permitir que seus operadores coletem informações de aplicativos de mensagens, clientes de email, páginas da Web, etc. Normalmente, os infostealers se conectam ao servidor C&C (Command & Control) de seus criadores e desviam todos os dados coletados diretamente para os atacantes. O malware Khalesi pertence à classe infostealer e parece estar ativo na natureza.
Propagação e Persistência
O infostealer Khalesi provavelmente está sendo propagado através de vários meios de distribuição, como campanhas de malvertising, downloads falsos de aplicativos, campanhas de e-mail de spam em massa, mídia pirata e software etc. O infostealer Khalesi opera silenciosamente e os usuários que são vítimas dessa ameaça podem permanecem alheios ao fato de haver malware presente em seus sistemas. Ao comprometer um host, o infostealer Khalesi ganha persistência ao criar uma Tarefa Agendada do Windows. Isso garantiria que, mesmo que os usuários reinicializem seus computadores, o infostealer Khalesi funcione assim que o PC for ligado novamente. Os dados reunidos pelo infostealer Khalesi são armazenados imediatamente na pasta% TEMP%. Os dados coletados serão então filtrados para o servidor C&C dos invasores.
Recursos
Esse infostealer é conhecido por coletar dados de:
Carteiras de Criptomoeda:
- Namecoin.
- Ethereum.
- Monero.
- Electrum.
- Bytecoin.
Plataformas de Jogos:
- Battle.Net.
- Vapor.
Aplicativos de Mensagens:
- Discórdia.
- Skype.
- Telegrama.
- PSI.
- Pidgin.
Navegadores da Web:
- Google Chrome.
- Mozilla Firefox.
- Internet Explorer.
- Navegadores baseados no cromo.
Para evitar que a sua criação seja dissecada pelos analistas de malware, os autores do infostealer Khalesi garantiram que a ameaça seja capaz de detectar se está sendo executada em um ambiente sandbox. Isso é feito verificando o host em relação a qualquer software que possa estar vinculado à depuração de malware. Se o teste for positivo, o infostealer Khalesi interromperá a operação e cessará todas as atividades.
Se você foi vítima do infostealer Khalesi, recomendamos fortemente que você baixe e instale uma solução anti-malware respeitável que o ajudará a remover essa ameaça do seu PC de forma rápida e segura.