NWHStealer kradnie hasła. Ukrywa się w fałszywych aplikacjach
Badacze Malwarebytes opisują kampanie, w których NWHStealer trafia do użytkowników Windows pod postacią fałszywego Proton VPN, narzędzi sprzętowych i modyfikacji do gier. Po instalacji malware kradnie hasła, dane przeglądarek i informacje o portfelach kryptowalutowych.
Według analizy opublikowanej przez Malwarebytes, złośliwe archiwa pojawiały się m.in. w sekcji pobierania serwisu onworks.net. Użytkownik dostawał plik ZIP, który wyglądał jak legalne narzędzie, a w środku znajdował się moduł uruchamiający NWHStealer. W części próbek szkodliwy kod osadzono bezpośrednio w pliku wykonywalnym, np. HardwareVisualizer.exe.
Badacze znaleźli też warianty oparte na przejęciu bibliotek DLL. W takim scenariuszu HardwareVisualizer.exe był w rzeczywistości plikiem WinRAR-a, a właściwy kod ukrywano w WindowsCodecs.dll. Ta sama metoda pojawiała się także w innych kampaniach, w których przynęty zmieniały nazwy, ale cel pozostawał ten sam: uruchomić infostealera w systemie Windows.
Drugi opisany przypadek dotyczy stron podszywających się pod Proton VPN. Fałszywe domeny udostępniały złośliwe archiwum ZIP, które uruchamiało malware przez DLL hijacking albo plik MSI. Malwarebytes podkreśla, że kampania nie ma związku z Proton VPN i że firma została poinformowana o ustaleniach badaczy.
Linki do takich stron pojawiały się na przejętych kanałach YouTube z filmami wygenerowanymi przez sztuczną inteligencję, pokazującymi rzekomą instalację programu. W tle działał wieloetapowy łańcuch infekcji: biblioteka DLL odszyfrowywała zasoby, uruchamiała kolejny moduł runpeNew.dll, a następnie wykorzystywała procesy takie jak RegAsm do ukrycia działania szkodnika.
Po uruchomieniu NWHStealer działał w pamięci albo wstrzykiwał się do innych procesów. Malware zbierał dane z przeglądarek, zapisane hasła i informacje z ponad 25 folderów oraz kluczy rejestru związanych z portfelami kryptowalutowymi. Na liście badaczy znalazły się m.in. Edge, Chrome, Opera, 360 Browser, K-Melon, Brave, Chromium i Chromodo.
Wykradzione dane trafiały do serwera C2 po zaszyfrowaniu algorytmem AES-CBC, a gdy główna domena była niedostępna, malware mógł pobrać nowy adres przez skrytkę w Telegramie. Malwarebytes wskazuje też, że sprawcy wykorzystywali GitHub, SourceForge i YouTube, bo użytkownicy szukają tam narzędzi, modów do gier i instalatorów, którym zwykle ufają bardziej niż linkom z klasycznego phishingu.
