最新的 Meduza 恶意软件开始在电报群中流传

2024年 1月 3日 74.9k 0

概述

在圣诞节前夕,Resecurity 的 HUNTER (HUMINT) 发现密码窃取者 Meduza 的作者发布了新版本 (2.2)。该产品在今年 6 月首次发布后已经引起了暗网的极大兴趣。其中一个关键的重大改进是支持更多的软件客户端(包括基于浏览器的加密货币钱包)、升级的信用卡 (CC) 抓取器,以及用于在各种平台上进行密码存储转储以提取凭据和令牌的其他高级机制。总而言之,Meduza 是网络犯罪分子用于帐户接管 (ATO)、网上银行盗窃和金融欺诈的 Azorult、Redline、Racoon 和 Vidar Stealer 的绝佳竞争对手。

图片文件翻译:

注意!新年更新 在 2024 年新年之前,Meduza 团队决定通过更新来取悦客户。在圣诞树下,您可以找到很棒的礼物,例如用户界面(面板)的显着改进,加载和扩展数据收集对象的模式窗口。

目前,Meduza 密码窃取程序支持 Windows Server 2012/2016/2019/2022 和 Windows 10/11。作者展示了所有版本的演示。

窃取程序允许从流行的软件应用程序中获取数据,包括但不限于支持:

  • 106 个浏览器
  • 107个加密货币钱包
  • 通过FileGrabber(模块)的任何文件扩展名
  • Telegram IM
  • Steam
  • Discord
  • 27 个密码管理器
  • OpenVPN
  • Outlook(电子邮件客户端)
  • Google Tokens

下面提供了完整的受支持软件更新列表:

Chromium引擎:

Google Chrome、Google Chrome Beta、Google Chrome (x86)、Google Chrome SxS、360ChromeX、Chromium、Microsoft Edge、Brave 浏览器、Epic Privacy 浏览器、Amigo、Vivaldi、Kometa、Orbitum、Mail.Ru Atom、Comodo Dragon、Torch、Comodo 、Slimjet、360Browser、360 安全浏览器、Maxthon3、Maxthon5、Maxthon、QQBrowser、K-Meleon、Xpom、联想浏览器、Xvast、Go!、Safer Secure Browser、Sputnik、Nichrome、CocCoc 浏览器、Uran、Chromodo、Yandex 浏览器、7Star 、Chedot、CentBrowser、Iridium、Opera Stable、Opera Neon、Opera Crypto Developer、Opera GX、Elements Browser、Citrio、Sleipnir5 ChromiumViewer、QIP Surf、Liebao、Coowon、ChromePlus、Rafotech Mustang、Suhba、TorBro、RockMelt、Bromium、Twinkstar、 CCleaner 浏览器、AcWebBrowser、CoolNovo、百度 Spark、SRWare Iron、Titan 浏览器、AVAST 浏览器、AVG 浏览器、UCBrowser、URBrowser、Blisk、Flock、CryptoTab 浏览器、SwingBrowser、Sidekick、Superbird、SalamWeb、GhostBrowser、NetboxBrowser、GarenaPlus、Kinza、InsomniacBrowser 、 ViaSat 浏览器、Naver Whale、Falkon

Gecko引擎:

Firefox、SeaMonkey、Waterfox、K-Meleon、Thunderbird、CLIQZ、IceDragon、Cyberfox、BlackHawk、Pale Moon、IceCat、Basilisk、BitTube、SlimBrowser

支持的加密扩展:

Metamask、Metamask (Edge)、Metamask (Opera)、BinanceChain、Bitapp、Coin98、Safe Pal、Safe Pal (Edge)、DAppPlay、Guarda、Equal、Guild、Casper、Casper (Edge)、ICONex、Math、Math (Edge) 、Mobox、Phantom、TronLink、XinPay、Ton、Sollet、Slope、DuinoCoin、Starcoin、Hiro Wallet、MetaWallet、Swash、Finnie、Keplr、Crocobit、Oxygen、Nifty、Liquality、Ronin、Ronin (Edge)、Oasis、Temple、Pontem 、Solflare、Yoroi、iWallet、Wombat、Coinbase、MewCx、Jaxx Liberty(Web)、OneKey、Hycon Lite 客户端、SubWallet(Polkadot)、Goby、TezBox、ONTO 钱包、Hashpack、Cyano、Martian 钱包、Sender 钱包、Zecrey、Auro 、Terra Station、KardiaChain、Rabby、NeoLine、Nabox、XDeFi、KHC、CLW、Polymesh、ZilPay、Byone、Eternl、Guarda(Web)、Nami、Maiar DeFi 钱包、Leaf 钱包、Brave 钱包、Opera 钱包、CardWallet、Flint、 Exodus(网页版)、TrustWallet、CryptoAirdrop

桌面加密货币钱包:

Coinomi、Dash、Litecoin、比特币、Dogecoin、Qtum、Armory、Bytecoin、MultiBit、Jaxx Liberty、Exodus、Ethereum、Electrum、Electrum-LTC、Atomic Wallet、Guarda、钱包Wasabi、ElectronCash、Sparrow、IOCoin、PPCoin、BBQCoin、Mincoin、 DevCoin、YACoin、Franko、FreiCoin、InfiniteCoin、GoldCoinGLD、Binance、Terracoin、Daedalus 主网、MyMonero、MyCrypto、AtomicDEX、Bisq、Defichain-Electrum、TokenPocket(浏览器)、Zap

密码管理器:

Authenticator、Authenticator (Edge)、Trezor Password Manager、GAuth Authenticator、EOS Authenticator、1Password、1Password (Edge)、KeePassXC (Web)、KeePassXC (Web Edge)、Dashlane、Dashlane (Edge)、Bitwarden、Bitwarden (Edge)、NordPass、Keeper、RoboForm (Web)、RoboForm (Web Edge)、LastPass、LastPass、LastPass (Edge)、BrowserPass、MYKI、MYKI (Edge)、Splikity、CommonKey、SAASPASS、Zoho Vault、Authy (Web)

Discord 客户端:

Discord、DiscordCanary、DiscordPTB、Lightcord、DiscordDevelopment

电报客户端:

Kotatogram,Telegram 桌面

Meduza Stealer 的报告包含其品牌的特定签名。与 Azorult 和 Redline 类似,报告(日志)的结构非常详细,提供了有关受害者受感染机器的见解。

图形用户界面:

配置面板:

到 2024 年,Meduza 背后的作者将实施以下升级:

  • 基于 Chromium 的浏览器支持(本地存储转储),因为一些 WEB 站点和扩展(例如 Coinbase)存储其授权令牌。值得注意的是,在当前版本发布前一周,作者实现了 Windows 凭据管理器和 Windows 保管库转储。
  • 密码采集卡已从 STL 优化并重写为 WinAPI,在 C2C 通信中实施了多项改进;
  • 支持新的基于浏览器的加密货币钱包,包括但不限于 OKX、Enrypt、CryptoCom、Sui、Petra、Talisman。除了与加密相关的令牌外,Meduza 还支持 Google 帐户令牌,该令牌可用于 cookie 操作以访问受感染的帐户。增加了对 Google Chrome Canary、Google Chrome Dev、Google Chrome Beta 的支持。在C2C面板中,有一个名为“Google Token Recovery”的新配置,允许处理此类令牌。
  • 改进了加密存根和 AV 规避。对于额外费用(119 美元),作者可以通过更好的 AV 反检测覆盖范围对窃取者进行增强的混淆。

“谷歌令牌恢复”功能的界面:

值得注意的是,Meduza 已与一家名为 TrueCrypt Service 的知名地下加密服务合作。该服务被恶意软件和勒索软件运营商广泛使用,以混淆恶意负载并逃避安全检测

免杀可通过交互式 Telegram 机器人获得:

值得注意的是,免杀的最新结果显示,仅 1 个 AV 从 27 (1/27) 中检测到了很好的结果和检测:

Meduza Stealer 2.2 的租金起价为每月 199 美元。窃取者背后的团队还提供加密服务,包括公共(在所有客户之间共享)和私人存根(单独准备),以及出租服务器以托管 C2C 面板。

付款后,作者将邀请新客户进入 Telegram 上的私人(仅限邀请)频道,在那里他将分享新发布的工具。

事实上,今天发布的最新版本是 Meduza 2.2.7,订阅激活后可在私人 Telegram 频道上使用。

C2C 面板也进行了升级,并保持用 Python 编写:

为了安装 Meduza,操作员需要遵循以下说明:

  • Launch MedusaServer.exe
  • 安装 Python 3.10.2
  • 安装 Microsoft Visual Studio 可再发行组件
  • 在控制台中执行以下命令:
  • pip install poetry
    poetry config virtualenvs.in-project true
    cd panel
    poetry install
    .venvScriptsactivate
    playwright install
    python server.py

    Meduza 2.2 支持通过 Telegram IM 进行通信,以传递来自受感染受害者的日志。运营商可以定义 API 密钥和通道的 ID 来设置它。

    Meduza Stealer 仍然是同类产品中最好的之一。该产品具有操作支持和不断更新,并具有重大的功能集改进。Meduza已经开始与Azorult和Redline Stealer竞争,因为它具有灵活的配置系统和广泛的应用覆盖范围。

    IOC

    MD5

    Meduza V2.2Builder
    
    ---------------------------------------------------
    
    5D9E2C18B4A261519E121754CD682B25 MedusaServer.exe
    EA6562FF5BCCA7182EEBC6F4E83DECAA config.json
    
    MeduzaV2.2Panel
    ---------------------------------------------------
    EBA71E82CB96780B4711BF898067BA81 server.py
    5C1E871A99108B68C90F6ADBAC5B190F routes.py
    3894A29E43D8847778F0FBB81BB479B9 pyproject.toml
    73070434952F46D1F37F9AB4BB99754F poetry.lock
    EB52C4A4BEF2367E721BBE13E89AACF5 models.py
    ADC35BB330618A365685B5864E403007 globals.py
    02FA600EB8A92D7CE676F87269365CA0 firepwd.py
    021B649CE9D11E2CA9C67761953B1408 encodingss.py
    C1824076854ACAC6858177062C1F5493 config.py
    80136B6C96F8B23F8E938E38E01C58E6 chrome_recovery.py
    C712A1B8A70FB7D0C7A714E12EFF0E38 .gitignore
    
    MeduzaV2.2PanelStatic Folder
    ---------------------------------------------------
    FA1DED1ED7C11438A9B0385B1E112850 robots.txt
    74EE6AC5ACEABA962B45D8295DB06823 manifest.json
    6FEF55E48E2392DBE72DF975EEAA5030 index.html
    
    MeduzaV2.2PanelStaticAssets Folder
    ---------------------------------------------------
    D35ECA43E27128431B427578D7EC4404 TotalLogs-B-E2YwnZ.png
    005A687909B2CD3B0DC757E696AEDFD3 snake-lPgznXqp.png
    BD1F946D08F9E4747E7DFDEC6823E4F0 settings-I0_wb9DP.png
    A77B3786F7A53152D9AE31930D4C7FE4 proxy-djqteFjQ.png
    54BBEBBFEB771DD609FF329099704A6A profile-bXjbzb05.png
    14DC11E9386E2AEB9005DC2906F27DD1 port-rmPefoZT.png
    557BDA3A9CD30126257AE2733DC51738 pencil-_4BhWMe4.png
    7264FD364F9DFF44E65DACF23348A29E Meduza-Xf1ectds.png
    2AAA6F1BE965EB98DE80E55286525FF6 loupe-_mfn3Vyn.png
    E7A2BB050F7EC5EC2BA405400170A27D logo-ovWOqCdT.svg
    E7C085CD99652B734D208888C91BD249 link-9UZGtMhQ.png
    244F76846B82C315F96A6A70BBD4C7DC ip-BeCA78j8.png
    EB17C2089CE02C6C9A711DB92751D9E1 information-MI6lnrKe.png
    05FC2D25B0B1AF9EA058F9B8DB3D5156 index-meiT9fTn.css
    DBC8C6622A2E9BE15ADEA1C936340D9E index-cm7TvlL3.js
    D8625B338B13C0A1703AE2CD0059540F GoogleToken-JnjNeTRs.png
    39A083EB4D82950E58CEF105A3C6A9D4 fileSize-jXgEEV2i.png
    D3A9C85A9155C22F5719D7953BA8F8D6 file-7daGp-7D.png
    0BB345C489B1D09A276D8AE1409FE28F ds-greece-eWgboWnd.ttf
    6174A343DD4C9A7D4AE7802B3EEA3134 delete-O6fZYS2-.png
    FBE3D766BC659B28244F5B401D497A1B delete_after-CPfbcLvs.png
    B14DA82FD326FB23ADA0B4DF443CDA25 Comfortaa-VariableFont_wght-R_5AX4pn.ttf
    E22F9B945371079B09E4E1E562DFC071 calendarWeek-ZP6zLNm9.png
    96F38055CAF432E112077AD70663ABD2 calendarMounth-vgkHK7KK.png
    7B9A86691DAE4B913BA8B08F3F2ADFF8 calendarAfter-PPQE7FN7.png
    C012CF6D414F3DFFFCE577623D91FD50 calendar-5_8NiYB7.png
    FA1DED1ED7C11438A9B0385B1E112850 robots.txt
    74EE6AC5ACEABA962B45D8295DB06823 manifest.json
    6FEF55E48E2392DBE72DF975EEAA5030 index.html
    
    MeduzaV2.2Panel Folder
    ---------------------------------------------------
    EBA71E82CB96780B4711BF898067BA81 server.py
    5C1E871A99108B68C90F6ADBAC5B190F routes.py
    3894A29E43D8847778F0FBB81BB479B9 pyproject.toml
    73070434952F46D1F37F9AB4BB99754F poetry.lock
    EB52C4A4BEF2367E721BBE13E89AACF5 models.py
    ADC35BB330618A365685B5864E403007 globals.py
    02FA600EB8A92D7CE676F87269365CA0 firepwd.py
    021B649CE9D11E2CA9C67761953B1408 encodingss.py
    C1824076854ACAC6858177062C1F5493 config.py
    80136B6C96F8B23F8E938E38E01C58E6 chrome_recovery.py
    C712A1B8A70FB7D0C7A714E12EFF0E38 .gitignore
    
    MeduzaV2.2PanelStatic Folder
    ---------------------------------------------------
    FA1DED1ED7C11438A9B0385B1E112850 robots.txt
    74EE6AC5ACEABA962B45D8295DB06823 manifest.json
    6FEF55E48E2392DBE72DF975EEAA5030 index.html
    
    MeduzaV2.2PanelStaticAssets Folder
    ---------------------------------------------------
    D35ECA43E27128431B427578D7EC4404 TotalLogs-B-E2YwnZ.png
    005A687909B2CD3B0DC757E696AEDFD3 snake-lPgznXqp.png
    BD1F946D08F9E4747E7DFDEC6823E4F0 settings-I0_wb9DP.png
    A77B3786F7A53152D9AE31930D4C7FE4 proxy-djqteFjQ.png
    54BBEBBFEB771DD609FF329099704A6A profile-bXjbzb05.png
    14DC11E9386E2AEB9005DC2906F27DD1 port-rmPefoZT.png
    557BDA3A9CD30126257AE2733DC51738 pencil-_4BhWMe4.png
    7264FD364F9DFF44E65DACF23348A29E Meduza-Xf1ectds.png
    2AAA6F1BE965EB98DE80E55286525FF6 loupe-_mfn3Vyn.png
    E7A2BB050F7EC5EC2BA405400170A27D logo-ovWOqCdT.svg
    E7C085CD99652B734D208888C91BD249 link-9UZGtMhQ.png
    244F76846B82C315F96A6A70BBD4C7DC ip-BeCA78j8.png
    EB17C2089CE02C6C9A711DB92751D9E1 information-MI6lnrKe.png
    05FC2D25B0B1AF9EA058F9B8DB3D5156 index-meiT9fTn.css
    DBC8C6622A2E9BE15ADEA1C936340D9E index-cm7TvlL3.js
    D8625B338B13C0A1703AE2CD0059540F GoogleToken-JnjNeTRs.png
    39A083EB4D82950E58CEF105A3C6A9D4 fileSize-jXgEEV2i.png
    D3A9C85A9155C22F5719D7953BA8F8D6 file-7daGp-7D.png
    0BB345C489B1D09A276D8AE1409FE28F ds-greece-eWgboWnd.ttf
    6174A343DD4C9A7D4AE7802B3EEA3134 delete-O6fZYS2-.png
    FBE3D766BC659B28244F5B401D497A1B delete_after-CPfbcLvs.png
    B14DA82FD326FB23ADA0B4DF443CDA25 Comfortaa-VariableFont_wght-R_5AX4pn.ttf
    E22F9B945371079B09E4E1E562DFC071 calendarWeek-ZP6zLNm9.png
    96F38055CAF432E112077AD70663ABD2 calendarMounth-vgkHK7KK.png
    7B9A86691DAE4B913BA8B08F3F2ADFF8 calendarAfter-PPQE7FN7.png
    C012CF6D414F3DFFFCE577623D91FD50 calendar-5_8NiYB7.png
    FA1DED1ED7C11438A9B0385B1E112850 robots.txt
    74EE6AC5ACEABA962B45D8295DB06823 manifest.json
    6FEF55E48E2392DBE72DF975EEAA5030 index.html

    参考链接:https://www.resecurity.com/blog/article/new-version-of-medusa-stealer-released-in-dark-web

    图片来源网络目标可联系删除

    相关文章

    Mallox勒索软件新Linux变种现世
    伪装成破解程序和商业工具的新型恶意软件正在传播
    Orcinius后门新样本分析
    Poseidon窃取程序通过Google广告感染Mac用户
    大选开始之际,欧盟各政党遭受 DDoS 攻击
    微软2024

    发布评论