Doenerium Stealer

Doenerium je zlodej informácií, ktorý sa vydáva za nástroj Windows Malicious Software Removal Tool. Kradne dáta z kryptomenových peňaženiek, prehliadačov a pamäte schránky, ako aj systémové informácie. Taktiež umožňuje aktérom hrozieb ťažiť kryptomenu na kompromitovaných počítačoch únosom ich hardvérových zdrojov.

Po spustení na zariadení obete malvér najskôr vytvorí priečinok na exfiltráciu, ktorý obsahuje ďalšie priečinky využívané Doenerium. Hrozba sa zameriava na niekoľko prominentných krypto peňaženiek vrátane Ethereum, Armory, AtomicWallet, Electrum, Bytecoin, Coinomi, Guarda, Jaxx a Zcash. Ukradnuté informácie sa potom zhromažďujú v priečinku s názvom „Peňaženky“. Okrem toho Doenerium zhromažďuje tokeny Discord a údaje prehliadača, ako sú podrobnosti o automatickom dopĺňaní, záložky, súbory cookie a heslá.

Okrem toho hrozba nesie modul clipper, ktorý jej umožňuje skenovať v pamäti schránky infikovaného systému adresy kryptomenových peňaženiek. Ak sa takáto zhoda nájde, Doenerium Stealer nahradí uložené dáta obete adresou krypto peňaženky útočníka. Výsledkom je, že transakcia vloží prostriedky na účet kyberzločincov, takže obete budú mať len málo možností, ako získať späť svoje peniaze.

Po zhromaždení cieľových údajov ich Doenerium skomprimuje do archívneho súboru .ZIP a odošle ho na bezplatnú platformu na zdieľanie alebo ukladanie súborov. Po nahratí ukradnutých informácií Doenerium odstráni zmeny, ktoré vykonal v systéme, odstránením súboru ZIP a jeho priečinka na exfiltráciu zo zariadenia obete.